Attivo almeno dalla fine del 2024 contro enti governativi in Sud America ed Europa sudorientale, il gruppo condivide strumenti con cinque cluster APT di matrice cinese già noti.
Autore: Redazione SecurityOpenLab
Si chiama UAT-8302 il gruppo APT collegato alla Cina e attivo contro enti governativi in Sud America e nell'Europa sudorientale. Gli esperti di Cisco Talos che lo hanno analizzato reputano che sia attivo almeno dalla fine del 2024 e che faccia uso di un arsenale avanzato di malware personalizzati, oltre a strumenti offensivi già noti.
Gli specialisti di Talos reputano che il mandato principale di UAT-8302 sia quello di ottenere e mantenere accesso persistente a lungo termine a enti governativi e organizzazioni di tutto il mondo. Ciò che rende questo gruppo particolarmente rilevante non è solo la sofisticazione tecnica, ma le sue connessioni con almeno cinque APT di matrice cinese già documentati in precedenza, con i quali condivide strumenti, tecniche e, in alcuni casi, infrastruttura.
Ripercorriamo la catena di attacco tipica di UAT-8302. Nella fase di accesso iniziale, Talos ritiene che UAT-8302 ricorra allo sfruttamento di vulnerabilità note e zero-day, in linea con le prassi degli altri gruppi APT con cui condivide strumenti. Una volta entrato nell’infrastruttura, il gruppo avvia immediatamente una ricognizione sistematica dell'ambiente compromesso: tramite Impacket (una raccolta di tool Python diffusa nei red team) e una serie di comandi di sistema, gli attaccanti mappano utenti, gruppi, privilegi, configurazioni di rete, share SMB raggiungibili e policy di audit attive sui log di sicurezza.
La ricognizione viene in parte automatizzata attraverso uno script PowerShell personalizzato, eseguito in background e reso persistente tramite un'attività pianificata di Windows che lo avvia con i privilegi di SYSTEM. In parallelo, il gruppo esegue una scansione automatica di tutti gli indirizzi IP della rete interna per identificare quali macchine sono accese e raggiungibili, e usa scanner di rete open source scritti in cinese semplificato per rilevare i servizi esposti. L'uso sistematico di strumenti con commenti e interfacce in cinese semplificato costituisce uno degli elementi che contribuiscono all’attribuzione cinese.
La fase successiva è dedicata all'estrazione di credenziali e alla raccolta di informazioni sull'infrastruttura Active Directory dell'organizzazione presa di mira. Il gruppo usa uno script Python specializzato per estrarre le credenziali memorizzate nel servizio di sincronizzazione tra l'Active Directory locale e il cloud Microsoft; interroga direttamente la directory aziendale per ottenere l'elenco completo di utenti, gruppi, computer e relative descrizioni; raccoglie infine una fotografia statica dell'intera directory tramite AD Explorer, un tool legittimo di amministrazione di sistema qui utilizzato a scopo offensivo. Viene inoltre usato uno strumento derivato da un repository pubblico in lingua cinese per estrarre le informazioni di login direttamente dal domain controller.
I log di sicurezza di Windows vengono anch'essi collezionati su più endpoint: contengono informazioni preziose sulle sessioni di autenticazione, sugli accessi privilegiati e sulle configurazioni delle policy di sicurezza, permettendo agli attaccanti di capire cosa viene monitorato e cosa no.
Una volta ottenute le credenziali e la mappa della rete, UAT-8302 attua i movimenti lateriali attraverso i sistemi compromessi mediante due strumenti principali: Impacket per l'esecuzione remota di processi, e WMI (Windows Management Instrumentation) per la gestione remota dei sistemi. In entrambi i casi, gli attaccanti eseguono script batch pre-posizionati sui sistemi target, che provvedono a installare il malware. Il gruppo sfrutta anche le credenziali salvate nel client SSH MobaXterm, decifrandole con un tool dedicato per accedere ad altri endpoint raggiungibili.
A questo punto UAT-8302 dispiega più famiglie di malware con funzioni complementari. Il primo è NetDraft (noto anche come NosyDoor), una backdoor scritta con le tecnologie di sviluppo Microsoft e derivata da una famiglia di malware creata e usata esclusivamente dal gruppo APT Jewelbug/REF7707. Per comunicare con i propri server di comando e controllo, NetDraft sfrutta le API legittime di Microsoft Graph e OneDrive, così da far transitare tutto il traffico attraverso i servizi cloud Microsoft, di modo da ostacolare la distinzione delle comunicazioni malevole da quelle ordinarie. Il malware viene installato tramite l’ormai gettonatissima tecnica DLL sideloading. Dato che NetDraft non è in grado di sopravvivere a un riavvio del sistema, uno dei primi comandi che riceve dal serve di comando e controllo è la creazione di un'attività pianificata di Windows per garantirne la riattivazione automatica.
CloudSorcerer versione 3 è l'evoluzione di una backdoor già usata nel 2024 contro enti governativi russi e documentato da Kaspersky. Anche questo malware adotta la tecnica DLL sideloading, applicata a eseguibili che simulano applicazioni legittime Yandex o VMware Tools. Una volta attivato, si comporta diversamente a seconda del processo in cui è stato iniettato: se opera nel contesto del processo di gestione della stampa di Windows contatta GitHub per recuperare le informazioni sul server di comando e controllo. Se opera in altri processi, inietta sé stesso per avviare le proprie operazioni. Per ottenere l'indirizzo del server di comando e controllo senza usare connessioni sospette, CloudSorcerer v3 legge blob di dati codificati pubblicati su repository GitHub o su profili GameSpot appositamente creati dagli attaccanti.
Il terzo malware è VSHELL, un trojan di accesso remoto che viene installato attraverso una catena di componenti preparatori. Il primo è SnowLight, un modulo che ha il compito di scaricare VSHELL dal server degli attaccanti e avviarlo. A monte di SnowLight opera a volte SnowRust, una sua variante che aggiunge un ulteriore strato di offuscamento prima di passare il controllo alla fase successiva. L'obiettivo di questa catena a più anelli è ostacolare l'individuazione del malware finale. In almeno un'intrusione, una volta installato, VSHELL è stato usato per caricare un componente che opera a livello del kernel del sistema operativo per permettere agli attaccanti di intercettare, bloccare o nascondere qualsiasi evento sul sistema, dai processi avviati alle modifiche al registro di configurazione, fino alle operazioni sui file.
In alcune intrusioni compare anche la combinazione SnappyBee/DeedRAT con ZingDoor: il primo è un RAT attribuito al gruppo Earth Estries, il secondo una famiglia DLL-based già documentata da Trend Micro nel 2024. A corredare il tutto, Draculoader, un noto loader generico di shellcode che gestisce il caricamento in memoria degli altri componenti malevoli.
Una volta distribuito il malware, UAT-8302 si preoccupa di garantirsi canali di accesso aggiuntivi e stabili. Per farlo utilizza lo strumento Stowaway in lingua cinese per creare tunnel proxy che fa uscire il traffico dall'ambiente compromesso verso infrastrutture controllate dagli attaccanti. In parallelo, installa client VPN per mantenere accesso remoto persistente, e in alcuni casi usa l’utility anyproxy per configurare ulteriori proxy all'interno della rete compromessa. L'obiettivo è costruire più percorsi di rientro indipendenti, in modo che la rimozione di uno strumento non comprometta l'accesso complessivo.
Uno degli aspetti più significativi emersi dall'analisi è la rete di sovrapposizioni tra UAT-8302 e altri cluster APT già noti fra cui LongNosedGoblin, UAT-6382 e UNC5174. Il quadro complessivo suggerisce una relazione operativa stretta tra questi cluster, con possibile condivisione di infrastruttura, strumenti e forse personale.