Un actor de amenaza del nexo con China conocido como UAT-7290 se ha atribuido a intrusiones centradas en el espionaje contra entidades del sur de Asia y el sudeste de Europa.
El grupo de actividades, que ha estado activo desde al menos 2022, se centra principalmente en un reconocimiento técnico exhaustivo de las organizaciones objetivo antes de iniciar ataques, lo que en última instancia conduce a la implementación de familias de malware como RushDrop, DriveSwitch y SilentRaid, según un informe de Cisco Talos publicado hoy.
«Además de realizar ataques centrados en el espionaje en los que UAT-7290 se introduce profundamente en la infraestructura de red de la empresa víctima, sus tácticas, técnicas y procedimientos (TTP) y herramientas sugieren que este actor también establece nodos de caja de retransmisión operativa (ORB)», investigadores Asheer Malhotra, Vitor Ventura y Brandon White dicho.
«La infraestructura ORB puede ser utilizada por otros actores del nexo con China en sus operaciones maliciosas, lo que significa el doble papel del UAT-7290 como actor de amenazas motivado por el espionaje, así como como grupo de acceso inicial».
Los ataques del adversario se han dirigido principalmente a proveedores de telecomunicaciones del sur de Asia. Sin embargo, las recientes oleadas de intrusión se han extendido a organizaciones de huelga en el sudeste de Europa.
El oficio de UAT-7290 es tan amplio como variado, y se basa en una combinación de malware de código abierto, herramientas personalizadas y cargas útiles para vulnerabilidades de un día en productos populares de redes de borde. Algunos de los implantes de Windows notables utilizados por el actor de amenazas incluyen rojohojas (también conocido como BUGJUICE) y SombraPadambos vinculados exclusivamente a grupos de hackers chinos.
Dicho esto, el grupo aprovecha principalmente un paquete de malware basado en Linux que comprende:
- RushDrop (también conocido como CronosRAT), un gotero que inicia la cadena de infección
- DriveSwitch, un malware periférico que se utiliza para ejecutar SilentRaid en el sistema infectado
- SilentRaid (también conocido como MystRodX), un implante basado en C++ que establece acceso persistente a puntos finales comprometidos y emplea un enfoque similar a un complemento para comunicarse con un servidor externo, abrir un shell remoto, configurar el reenvío de puertos y realizar operaciones de archivos.
Vale la pena señalar que un análisis previo de QiAnXin XLab marcó a MystRodX como una variante de ChronosRAT, un binario ELF modular que es capaz de ejecutar shellcode, administración de archivos, registro de teclas, reenvío de puertos, shell remoto, captura de pantalla y proxy. La Unidad 42 de Palo Alto Networks está rastreando el grupo de amenazas asociado bajo el nombre CL-STA-0969.
UAT-7290 también implementa una puerta trasera llamada Bulbature que está diseñada para transformar un dispositivo de borde comprometido en un ORB. Fue documentado por primera vez por Sekoia en octubre de 2024.
La compañía de ciberseguridad dijo que el actor de amenazas comparte superposiciones tácticas y de infraestructura con adversarios vinculados a China conocidos como Panda de piedra y RedFoxtrot (también conocido como Panda Nómada).
«El actor de amenazas lleva a cabo un reconocimiento exhaustivo de las organizaciones objetivo antes de llevar a cabo intrusiones. UAT-7290 aprovecha exploits de un día y fuerza bruta SSH específica del objetivo para comprometer los dispositivos periféricos de cara al público para obtener acceso inicial y escalar privilegios en los sistemas comprometidos», dijeron los investigadores. «El actor parece confiar en un código de explotación de prueba de concepto disponible públicamente en lugar de desarrollar el suyo propio».
Fuente