Se ha observado que un actor de amenazas probablemente alineado con China apunta a sectores de infraestructura críticos en América del Norte desde al menos el año pasado.
Cisco Talos, que está rastreando la actividad bajo el nombre UAT-8837lo evaluó como un actor de amenaza persistente avanzada (APT) del nexo con China con una confianza media basada en superposiciones tácticas con otras campañas montadas por actores de amenazas de la región.
La compañía de ciberseguridad señaló que el actor de amenazas tiene «la tarea principal de obtener acceso inicial a organizaciones de alto valor», según las tácticas, técnicas y procedimientos (TTP) y la actividad posterior al compromiso observada.
«Después de obtener acceso inicial, ya sea mediante la explotación exitosa de servidores vulnerables o mediante el uso de credenciales comprometidas, UAT-8837 implementa predominantemente herramientas de código abierto para recopilar información confidencial como credenciales, configuraciones de seguridad e información de dominio y Active Directory (AD) para crear múltiples canales de acceso a sus víctimas», dice. agregado.
Se dice que UAT-8837 ha explotado recientemente una vulnerabilidad crítica de día cero en Sitecore (CVE-2025-53690puntuación CVSS: 9,0) para obtener acceso inicial, y la intrusión comparte similitudes de TTP, herramientas e infraestructura con una campaña detallada por Mandiant, propiedad de Google, en septiembre de 2025. SiteCore publicó correcciones para la falla a principios de ese mes.
Si bien no está claro si estos dos clústeres son obra del mismo actor, sugiere que UAT-8837 puede tener acceso a exploits de día cero para realizar ataques cibernéticos.
Una vez que el adversario logra afianzarse en las redes objetivo, realiza un reconocimiento preliminar, seguido de la desactivación. Administrador restringido para el Protocolo de escritorio remoto (RDP), una característica de seguridad que garantiza que las credenciales y otros recursos del usuario no estén expuestos a hosts remotos comprometidos.
También se dice que UAT-8837 abre «cmd.exe» para realizar actividades prácticas con el teclado en el host infectado y descargar varios artefactos para permitir la post-explotación. Algunas de las herramientas notables incluyen:
- GoTokenRobopara robar tokens de acceso
- Lombrizpara crear un túnel inverso a servidores controlados por atacantes usando SOCKS
- DWAgentepara permitir el acceso remoto persistente y el reconocimiento de Active Directory
- Perro SharpHoundpara recopilar información de Active Directory
- Paquetepara ejecutar comandos con privilegios elevados
- GoExecuna herramienta basada en Golang para ejecutar comandos en otros puntos finales remotos conectados dentro de la red de la víctima
- rubeusun conjunto de herramientas basado en C# para la interacción y el abuso de Kerberos
- Certificaciónuna herramienta para el descubrimiento y abuso de Active Directory
«UAT-8837 puede ejecutar una serie de comandos durante la intrusión para obtener información confidencial, como credenciales de organizaciones víctimas», dijeron los investigadores Asheer Malhotra, Vitor Ventura y Brandon White.
«En una organización víctima, UAT-8837 exfiltró bibliotecas compartidas basadas en DLL relacionadas con los productos de la víctima, lo que aumenta la posibilidad de que estas bibliotecas puedan ser troyanizadas en el futuro. Esto crea oportunidades para comprometer la cadena de suministro y realizar ingeniería inversa para encontrar vulnerabilidades en esos productos».
La revelación se produce una semana después de que Talos atribuyó a otro actor de amenaza del nexo con China conocido como UAT-7290 hasta intrusiones centradas en espionaje contra entidades en el sur de Asia y el sudeste de Europa utilizando familias de malware como RushDrop, DriveSwitch y SilentRaid.
En los últimos años, ha aumentado la preocupación por los actores de amenazas chinos que apuntan a infraestructuras críticas. incitado Los gobiernos occidentales emitirán varias alertas. A principios de esta semana, agencias de inteligencia y ciberseguridad de Australia, Alemania, los Países Bajos, Nueva Zelanda, el Reino Unido y los EE. UU. prevenido sobre las crecientes amenazas a los entornos de tecnología operativa (OT).
La guía ofrece un marco para diseñar, proteger y gestionar la conectividad en sistemas OT, instando a las organizaciones a limitar la exposición, centralizar y estandarizar las conexiones de red, utilizar protocolos seguros, reforzar los límites de OT, garantizar que toda la conectividad sea monitoreada y registrada, y evitar el uso de activos obsoletos que podrían aumentar el riesgo de incidentes de seguridad.
«Se sabe que la conectividad OT expuesta e insegura es el objetivo de actores tanto oportunistas como altamente capaces», dijeron las agencias. «Esta actividad incluye actores patrocinados por el estado apuntando activamente a las redes de infraestructura nacional crítica (CNI). La amenaza no se limita sólo a los actores patrocinados por el Estado con incidentes recientes mostrando cómo la infraestructura OT expuesta es el objetivo oportunista de los hacktivistas».
(La historia se actualizó después de la publicación para enfatizar que la vulnerabilidad no es nueva y que SiteCore la parchó en septiembre de 2025).
Fuente