Se ha observado que un actor de amenazas probablemente alineado con China apunta a sectores de infraestructura crítica en América del Norte desde al menos el año pasado.

Cisco Talos, que rastrea la actividad con el nombre UAT-8837 , lo calificó como un actor de amenazas persistentes avanzadas (APT) del nexo entre China y con un nivel de confianza medio, basándose en la superposición táctica con otras campañas organizadas por actores de amenazas de la región.

La empresa de ciberseguridad señaló que el actor de amenazas tiene «la tarea principal de obtener el acceso inicial a organizaciones de alto valor», según las tácticas, técnicas y procedimientos (TTP) y la actividad observada después del compromiso.

«Tras obtener el acceso inicial, ya sea mediante la explotación exitosa de servidores vulnerables o mediante el uso de credenciales comprometidas, el UAT-8837 implementa principalmente herramientas de código abierto para recopilar información confidencial, como credenciales, configuraciones de seguridad e información de dominio y de Active Directory (AD), a fin de crear múltiples canales de acceso para sus víctimas», adicional .

Se dice que el UAT-8837 explotó recientemente una vulnerabilidad crítica de día cero en Sitecore ( CVE-2025-53690 , puntuación CVSS: 9,0) para obtener el acceso inicial, con similitudes entre TTP, herramientas e infraestructura para compartir intrusiones con una campaña detallada por Mandiant, propiedad de Google, en septiembre de 2025.

Si bien no está claro si estos dos clústeres son obra del mismo actor, esto sugiere que el UAT-8837 puede tener acceso a exploits de día cero para llevar a cabo ciberataques.

Una vez que el adversario se afianza en las redes objetivo, realiza un reconocimiento preliminar, seguido de una desactivación Administrador restringido para el Protocolo de escritorio remoto (RDP), una función de seguridad que garantiza que las credenciales y otros recursos de usuario no estén expuestos a hosts remotos comprometidos.

También se dice que el UAT-8837 abre "cmd.exe" para realizar una actividad práctica con el teclado en el host infectado y descargar varios artefactos para permitir la explotación posterior. Algunos de los artefactos notables incluyen -

  • Robo de fichas , para robar fichas de acceso
  • Lombriz , para crear un túnel inverso a los servidores controlados por el atacante mediante SOCKS
  • Agente DW , para permitir el acceso remoto persistente y el reconocimiento de Active Directory
  • Perro afilado , para recopilar información de Active Directory
  • Impacto , para ejecutar comandos con privilegios elevados
  • GoExec , una herramienta basada en Golang para ejecutar comandos en otros puntos finales remotos conectados dentro de la red de la víctima
  • Rubeus , un conjunto de herramientas basado en C# para la interacción y el abuso de Kerberos
  • Certificar , una herramienta para la detección y el abuso de Active Directory

«El UAT-8837 puede ejecutar una serie de comandos durante la intrusión para obtener información confidencial, como credenciales de las organizaciones de víctimas», dijeron los investigadores Asheer Malhotra, Vitor Ventura y Brandon White.

«En una organización víctima, el UAT-8837 filtró bibliotecas compartidas basadas en DLL relacionadas con los productos de la víctima, lo que aumenta la posibilidad de que estas bibliotecas sean objeto de troyanos en el futuro. Esto crea oportunidades para comprometer la cadena de suministro y realizar ingeniería inversa para encontrar vulnerabilidades en esos productos».

La revelación se produce una semana después de que Talos atribuyera a otro actor de amenazas del nexo entre China y China conocido como UAT-7290 hasta intrusiones centradas en el espionaje contra entidades del sur de Asia y el sudeste de Europa que utilizan familias de malware como RushDrop, DriveSwitch y SilentRaid.

En los últimos años, la preocupación por los actores de amenazas chinos que atacan infraestructuras críticas ha incitado Los gobiernos occidentales emitirán varias alertas . A principios de esta semana, agencias de ciberseguridad e inteligencia de Australia, Alemania, los Países Bajos, Nueva Zelanda, el Reino Unido y los EE. UU. prevenido acerca de las crecientes amenazas a los entornos de tecnología operativa (OT).

La guía ofrece un marco para diseñar, proteger y administrar la conectividad en los sistemas de TO, e insta a las organizaciones a limitar la exposición, centralizar y estandarizar las conexiones de red, usar protocolos seguros, reforzar los límites de TO, garantizar que toda la conectividad esté monitoreada y registrada, y evitar el uso de activos obsoletos que podrían aumentar el riesgo de incidentes de seguridad.

«Se sabe que la conectividad OT expuesta e insegura es el objetivo de actores oportunistas y altamente capaces», dijeron las agencias. «Esta actividad incluye actores patrocinados por el estado apuntar activamente a las redes de infraestructura nacional crítica (CNI). La amenaza no se limita solo a los actores patrocinados por el estado con incidentes recientes mostrando cómo los hacktivistas atacan oportunistamente la infraestructura de OT expuesta».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.