Um grupo de ameaças persistentes avançadas com ligação à China foi atribuído a ataques contra órgãos governamentais na América do Sul desde, pelo menos, o fim de 2024 e contra agências governamentais no sudeste da Europa em 2025.
A atividade é monitorada pela Cisco Talos sob o nome UAT-8302.
Após o comprometimento dos alvos, o grupo passa a empregar famílias de malware desenvolvidas sob medida, que também já foram usadas por outros grupos de hackers alinhados à China.
Entre essas famílias de malware está o backdoor baseado em .NET chamado NetDraft, também conhecido como NosyDoor, uma variante em C# do FINALDRAFT, ou Squidoor.
Esse malware já havia sido associado anteriormente a clusters de ameaças conhecidos como Ink Dragon, CL-STA-0049, Earth Alux, Jewelbug e REF7707.
A ESET acompanha o uso do NosyDoor por um grupo que chama de LongNosedGoblin.
Curiosamente, o mesmo malware também foi usado contra organizações de TI russas por um threat actor identificado como Erudite Mogwai, também conhecido como Space Pirates e Webworm, segundo a empresa russa de cibersegurança Solar, que o nomeou LuckyStrike Agent.
Outras ferramentas utilizadas pelo UAT-8302 incluem:
CloudSorcerer, um backdoor observado em ataques contra entidades russas desde maio de 2024.
SNOWLIGHT, um carregador do VShell usado por UNC5174, UNC6586 e UAT-6382.
Deed RAT, também conhecido como Snappybee, sucessor do ShadowPad, e Zingdoor, ambos usados pela Earth Estries no fim de 2024.
Draculoader, um carregador genérico de shellcode usado para entregar Crowdoor e HemiGate.
“Os malware implantados pelo UAT-8302 o conectam a vários clusters de ameaças já divulgados publicamente, indicando, no mínimo, uma relação operacional próxima entre eles”, afirmaram os pesquisadores da Talos Jungsoo An, Asheer Malhotra e Brandon White em um relatório técnico publicado nesta terça-feira.
“No geral, os diversos artefatos maliciosos implantados pelo UAT-8302 indicam que o grupo tem acesso a ferramentas usadas por outros atores APT sofisticados, todos avaliados por diferentes relatórios de terceiros como ligados à China ou a pessoas que falam chinês.”
Ainda não se sabe quais métodos de acesso inicial o adversário usa para invadir as redes-alvo, mas há suspeitas de que ele recorra à estratégia já conhecida de transformar em arma exploits de zero-day e N-day em aplicações web.
Depois de obter acesso inicial, os atacantes costumam realizar amplo reconhecimento para mapear a rede, executar ferramentas de código aberto como o gogo para fazer varreduras automatizadas e se movimentar lateralmente pelo ambiente.
As cadeias de ataque culminam na implantação do NetDraft, do CloudSorcerer na versão 3.0 e do VShell.
O UAT-8302 também foi observado usando uma variante em Rust do SNOWLIGHT, chamada SNOWRUST, para baixar o payload do VShell de um servidor remoto e executá-lo.
Além de usar malware próprio, o threat actor também cria rotas alternativas de acesso por meio de ferramentas de proxy e VPN, como Stowaway e SoftEther VPN.
As descobertas reforçam a tendência de colaboração avançada entre múltiplos grupos alinhados à China.
Em outubro de 2025, a Trend Micro revelou um fenômeno chamado Premier Pass-as-a-Service, no qual o acesso inicial obtido pela Earth Estries é repassado à Earth Naga para exploração posterior, dificultando os esforços de contenção.
A parceria é avaliada como existente desde, pelo menos, o fim de 2023.
“O Premier Pass-as-a-Service oferece acesso direto a ativos críticos, reduzindo o tempo gasto nas fases de reconhecimento, exploração inicial e movimentação lateral”, afirmou a Trend Micro.
“Embora a extensão total desse modelo ainda não seja conhecida, o número limitado de incidentes observados, combinado ao risco substancial de exposição que esse tipo de serviço envolve, sugere que o acesso provavelmente é restrito a um pequeno círculo de threat actors.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...