Un actor de amenazas del nexo entre China conocido como UAT-7290 se ha atribuido a intrusiones centradas en el espionaje contra entidades del sur de Asia y el sudeste de Europa.
El clúster de actividades, que ha estado activo al menos desde 2022, se centra principalmente en un amplio reconocimiento técnico de las organizaciones objetivo antes de iniciar los ataques, lo que en última instancia conduce al despliegue de familias de malware como RushDrop, DriveSwitch y SilentRaid, según un informe de Cisco Talos publicado hoy.
«Además de llevar a cabo ataques centrados en el espionaje en los que el UAT-7290 se hunde en lo profundo de la infraestructura de red de la empresa víctima, sus tácticas, técnicas y procedimientos (TTP) y sus herramientas sugieren que este actor también establece nodos de caja de retransmisión operativa (ORB)», afirman los investigadores Asheer Malhotra, Vitor Ventura y Brandon White dijo .
«La infraestructura ORB podría entonces ser utilizada por otros actores relacionados con China en sus operaciones maliciosas, lo que significa que el UAT-7290 desempeña una doble función como actor de amenazas motivado por el espionaje y como grupo de acceso inicial».
Los ataques organizados por el adversario se han dirigido principalmente a los proveedores de telecomunicaciones del sur de Asia. Sin embargo, las recientes oleadas de intrusión se han diversificado para atacar a las organizaciones del sudeste de Europa.
El oficio del UAT-7290 es amplio y variado, y se basa en una combinación de malware de código abierto, herramientas personalizadas y cargas útiles para las vulnerabilidades de un día en los populares productos de redes periféricas. Algunos de los implantes de Windows más destacados que utilizó el actor de amenazas son Hojas rojas (también conocido como BUGJUICE) y ShadowPad , ambos vinculados exclusivamente a grupos de hackers chinos.
Dicho esto, el grupo aprovecha principalmente una suite de malware basada en Linux que comprende -
- RushDrop (también conocido como Cronos RAT ), un gotero que inicia la cadena de infección
- DriveSwitch, un malware periférico que se utiliza para ejecutar SilentRAID en el sistema infectado
- SilentRaid (también conocido como MystrodX ), un implante basado en C++ que establece un acceso persistente a los puntos finales comprometidos y emplea un enfoque similar al de un complemento para comunicarse con un servidor externo, abrir un shell remoto, configurar el reenvío de puertos y realizar operaciones de archivos
Vale la pena señalar que un análisis previo de QianXin xLab señaló a MystrodX como una variante de ChronosRAT, un binario ELF modular que es capaz de ejecutar códigos de shell, administrar archivos, registrar teclas, reenviar puertos, shell remoto, capturar capturas de pantalla y proxy. La unidad 42 de Palo Alto Networks está rastreando el clúster de amenazas asociado con el nombre CL-STA-0969.
El UAT-7290 también implementa una puerta trasera llamada Bulbature que está diseñada para transformar un dispositivo periférico comprometido en un ORB. Lo era primera documentación de Sekoia en octubre de 2024.
La empresa de ciberseguridad dijo que el actor de amenazas comparte superposiciones tácticas y de infraestructura con adversarios vinculados a China conocidos como Panda de piedra y Foxtrot rojo (también conocido como Nomad Panda).
«El actor de la amenaza lleva a cabo un amplio reconocimiento de las organizaciones objetivo antes de llevar a cabo intrusiones. El UAT-7290 aprovecha las vulnerabilidades de un solo día y la fuerza bruta SSH específica para atacar los dispositivos periféricos de acceso público, obtener el acceso inicial y aumentar los privilegios en los sistemas comprometidos», afirman los investigadores. «El actor parece confiar en un código de explotación de prueba de concepto disponible públicamente en lugar de desarrollar el suyo propio».
Post generado automaticamente, fuente oficial de la información: THEHACKERNEWS