📰 Informação fresquinha chegando para você!
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um sofisticado grupo de ameaças persistentes avançadas (APT) do nexo China foi atribuído a ataques contra entidades governamentais na América do Sul desde pelo menos o final de 2024 e contra agências governamentais no sudeste da Europa em 2025.
A atividade está sendo rastreada pelo Cisco Talos sob o apelido UAT-8302, com pós-exploração envolvendo a implantação de famílias de malware personalizadas que foram utilizadas por outros grupos de hackers alinhados à China.
Notável entre as famílias de malware é um backdoor baseado em .NET chamado NetDraft (também conhecido como NosyDoor), uma variante C# do FINALDRAFT (também conhecido como Squidoor) que foi anteriormente vinculado a clusters de ameaças conhecidos como Ink Dragon, CL-STA-0049, Earth Alux, Jewelbug e REF7707.
A ESET está rastreando o uso do NosyDoor para um grupo chamado LongNosedGoblin. Curiosamente, o mesmo malware também foi implantado contra organizações de TI russas por um agente de ameaças conhecido como Erudite Mogwai (também conhecido como Space Pirates e Webworm), pela empresa russa de segurança cibernética Solar, que lhe deu o nome de LuckyStrike Agent.
Algumas das outras ferramentas utilizadas pelo UAT-8302 são as seguintes -
CloudSorcerer, um backdoor observado em ataques direcionados a entidades russas desde maio de 2024.
SNOWLIGHT, um stager VShell usado por UNC5174, UNC6586 e UAT-6382.
Deed RAT (também conhecido como Snappybee), um sucessor do ShadowPad, e Zingdoor, ambos implantados pela Earth Estries no final de 2024.
Draculoader, um carregador de shellcode genérico usado para entregar Crowdoor e HemiGate.
“O malware implantado pelo UAT-8302 o conecta a vários clusters de ameaças previamente divulgados publicamente, indicando, no mínimo, uma estreita relação operacional entre eles”, disseram os pesquisadores do Talos Jungsoo An, Asheer Malhotra e Brandon White em um relatório técnico publicado hoje.
“No geral, os vários artefatos maliciosos implantados pelo UAT-8302 indicam que o grupo tem acesso a ferramentas usadas por outros atores sofisticados de APT, todos avaliados como nexo com a China ou de língua chinesa por vários relatórios da indústria de terceiros”.
Atualmente não se sabe quais métodos de acesso inicial o adversário emprega para invadir redes alvo, mas suspeita-se que envolva a abordagem testada e comprovada de armar explorações de dia zero e de dia N em aplicações web.
Ao se firmarem, sabe-se que os invasores realizam amplo reconhecimento para mapear a rede, executam ferramentas de código aberto como o gogo para realizar varreduras automatizadas e se movem lateralmente pelo ambiente. As cadeias de ataque culminam na implantação do NetDraft, CloudSorcerer (versão 3.0) e VShell.
UAT-8302 também foi observado usando uma variante do SNOWLIGHT baseada em Rust chamada SNOWRUST para baixar a carga útil do VShell de um servidor remoto e executá-la. Além de usar malware personalizado, o agente da ameaça configura meios alternativos de acesso backdoor usando ferramentas de proxy e VPN como Stowaway e SoftEther VPN.
As conclusões sublinham a tendência de tácticas avançadas de colaboração entre vários grupos alinhados com a China. Em outubro de 2025, a Trend Micro lançou luz sobre um fenômeno chamado “Premier Pass-as-a-Service”, onde o acesso inicial obtido por Earth Estries é passado para Earth Naga para exploração subsequente, obscurecendo os esforços de atrito. Estima-se que esta parceria exista pelo menos desde o final de 2023.
“O Premier Pass-as-a-Service fornece acesso direto a ativos críticos, reduzindo o tempo gasto nas fases de reconhecimento, exploração inicial e movimento lateral”, disse a Trend Micro. “Embora a extensão total deste modelo ainda não seja conhecida, o número limitado de incidentes observados, combinado com o risco substancial de exposição que tal serviço acarreta, sugere que o acesso é provavelmente restrito a um pequeno círculo de atores de ameaças”.
A atividade está sendo rastreada pelo Cisco Talos sob o apelido UAT-8302, com pós-exploração envolvendo a implantação de famílias de malware personalizadas que foram utilizadas por outros grupos de hackers alinhados à China.
Notável entre as famílias de malware é um backdoor baseado em .NET chamado NetDraft (também conhecido como NosyDoor), uma variante C# do FINALDRAFT (também conhecido como Squidoor) que foi anteriormente vinculado a clusters de ameaças conhecidos como Ink Dragon, CL-STA-0049, Earth Alux, Jewelbug e REF7707.
A ESET está rastreando o uso do NosyDoor para um grupo chamado LongNosedGoblin. Curiosamente, o mesmo malware também foi implantado contra organizações de TI russas por um agente de ameaças conhecido como Erudite Mogwai (também conhecido como Space Pirates e Webworm), pela empresa russa de segurança cibernética Solar, que lhe deu o nome de LuckyStrike Agent.
Algumas das outras ferramentas utilizadas pelo UAT-8302 são as seguintes -
CloudSorcerer, um backdoor observado em ataques direcionados a entidades russas desde maio de 2024.
SNOWLIGHT, um stager VShell usado por UNC5174, UNC6586 e UAT-6382.
Deed RAT (também conhecido como Snappybee), um sucessor do ShadowPad, e Zingdoor, ambos implantados pela Earth Estries no final de 2024.
Draculoader, um carregador de shellcode genérico usado para entregar Crowdoor e HemiGate.
“O malware implantado pelo UAT-8302 o conecta a vários clusters de ameaças previamente divulgados publicamente, indicando, no mínimo, uma estreita relação operacional entre eles”, disseram os pesquisadores do Talos Jungsoo An, Asheer Malhotra e Brandon White em um relatório técnico publicado hoje.
“No geral, os vários artefatos maliciosos implantados pelo UAT-8302 indicam que o grupo tem acesso a ferramentas usadas por outros atores sofisticados de APT, todos avaliados como nexo com a China ou de língua chinesa por vários relatórios da indústria de terceiros”.
Atualmente não se sabe quais métodos de acesso inicial o adversário emprega para invadir redes alvo, mas suspeita-se que envolva a abordagem testada e comprovada de armar explorações de dia zero e de dia N em aplicações web.
Ao se firmarem, sabe-se que os invasores realizam amplo reconhecimento para mapear a rede, executam ferramentas de código aberto como o gogo para realizar varreduras automatizadas e se movem lateralmente pelo ambiente. As cadeias de ataque culminam na implantação do NetDraft, CloudSorcerer (versão 3.0) e VShell.
UAT-8302 também foi observado usando uma variante do SNOWLIGHT baseada em Rust chamada SNOWRUST para baixar a carga útil do VShell de um servidor remoto e executá-la. Além de usar malware personalizado, o agente da ameaça configura meios alternativos de acesso backdoor usando ferramentas de proxy e VPN como Stowaway e SoftEther VPN.
As conclusões sublinham a tendência de tácticas avançadas de colaboração entre vários grupos alinhados com a China. Em outubro de 2025, a Trend Micro lançou luz sobre um fenômeno chamado “Premier Pass-as-a-Service”, onde o acesso inicial obtido por Earth Estries é passado para Earth Naga para exploração subsequente, obscurecendo os esforços de atrito. Estima-se que esta parceria exista pelo menos desde o final de 2023.
“O Premier Pass-as-a-Service fornece acesso direto a ativos críticos, reduzindo o tempo gasto nas fases de reconhecimento, exploração inicial e movimento lateral”, disse a Trend Micro. “Embora a extensão total deste modelo ainda não seja conhecida, o número limitado de incidentes observados, combinado com o risco substancial de exposição que tal serviço acarreta, sugere que o acesso é provavelmente restrito a um pequeno círculo de atores de ameaças”.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #uat8302 #vinculado #à #china #tem #como #alvo #governos #que #usam #malware #apt #compartilhado #entre #regiões
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário