Underc0de - La Casa de los Informáticos

Un actor de amenazas con nexo en China, identificado como UAT-7290, ha sido atribuido recientemente a una serie de intrusiones de ciberespionaje altamente dirigidas contra organizaciones estratégicas en el sur de Asia y el sureste de Europa. Así lo revela un nuevo informe publicado por Cisco Talos, que detalla una actividad persistente y sofisticada que se remonta, al menos, al año 2022.

Según los investigadores de Cisco Talos —Asheer Malhotra, Vitor Ventura y Brandon White—, UAT-7290 se caracteriza por realizar un reconocimiento técnico profundo y metódico antes de ejecutar cualquier ataque, lo que le permite infiltrarse de forma sigilosa en las infraestructuras objetivo y mantener accesos prolongados con fines de espionaje.

Un actor con doble rol: espionaje y acceso inicial

Uno de los aspectos más relevantes del análisis es que UAT-7290 no solo actúa como un grupo de ciberespionaje tradicional, sino que también desempeña un papel clave como proveedor de acceso inicial para otros actores del ecosistema de amenazas chino.

Citar"Las tácticas, técnicas y procedimientos (TTPs) de UAT-7290 sugieren que este actor establece nodos de Operational Relay Box (ORB), los cuales podrían ser reutilizados por otros actores vinculados a China en operaciones maliciosas", señalaron los investigadores.

Las ORB (Operational Relay Boxes) permiten ocultar el origen real de los ataques, actuar como intermediarios de comando y control (C2) y facilitar operaciones posteriores de espionaje, sabotaje o robo de información.

Sectores y regiones objetivo

Históricamente, los ataques de UAT-7290 se han centrado principalmente en proveedores de telecomunicaciones en el sur de Asia, un sector crítico por su valor estratégico y acceso a grandes volúmenes de datos sensibles. Sin embargo, Cisco Talos advierte que oleadas recientes de intrusiones muestran una clara expansión geográfica hacia organizaciones del sureste de Europa, lo que indica una evolución en los objetivos operativos del grupo.

Esta diversificación regional sugiere intereses geopolíticos más amplios y una estrategia de recopilación de inteligencia a largo plazo.

Arsenal técnico y enfoque híbrido

La técnica de UAT-7290 es amplia, flexible y altamente adaptativa. El grupo combina:

• Malware de código abierto
• Herramientas personalizadas
• Explotación de vulnerabilidades de día cero y día uno
• Ataques de fuerza bruta dirigidos

Gran parte de sus ataques se apoyan en productos populares de redes de borde, lo que les permite comprometer dispositivos expuestos a Internet y establecer un punto de apoyo inicial.

Entre los implantes de Windows observados se encuentran RedLeaves (también conocido como BUGJUICE) y ShadowPad, dos familias de malware históricamente asociadas exclusivamente con grupos de hackers chinos, lo que refuerza la atribución del actor.

Predominio de malware basado en Linux

A pesar del uso ocasional de herramientas para Windows, UAT-7290 se apoya principalmente en una suite de malware basada en Linux, diseñada para operar en servidores, dispositivos de borde y entornos empresariales críticos. Esta cadena de infección incluye:

• RushDrop (ChronosRAT): un cuentagotas que inicia la infección y despliega componentes adicionales
• DriveSwitch: malware intermedio utilizado para ejecutar el implante principal
• SilentRaid (MystRodX): implante avanzado en C++ que proporciona persistencia, comunicación con servidores externos y control remoto completo

SilentRaid adopta un enfoque modular similar a plugins, lo que le permite ejecutar comandos, abrir shells remotos, realizar operaciones de archivos, establecer reenvío de puertos y mantener comunicación encubierta con la infraestructura C2.

Vínculos con ChronosRAT y otros grupos chinos

Un análisis previo de QiAnXin XLab identificó a MystRodX como una variante de ChronosRAT, un binario ELF modular capaz de ejecutar múltiples funciones avanzadas, entre ellas:

• Ejecución de shellcode
• Gestión de archivos
• Keylogging
• Proxy y túneles de red
• Captura de pantallas

Por su parte, Palo Alto Networks Unit 42 rastrea a este mismo clúster de actividad bajo la denominación CL-STA-0969, lo que demuestra un consenso creciente en la comunidad de inteligencia de amenazas sobre la peligrosidad del grupo.

Bulbature y la creación de ORBs

Otro componente clave utilizado por UAT-7290 es Bulbature, una puerta trasera diseñada específicamente para transformar dispositivos de borde comprometidos en ORBs. Esta herramienta fue documentada por primera vez por Sekoia en octubre de 2024 y encaja perfectamente con la estrategia del grupo de crear infraestructuras reutilizables para operaciones futuras.

Solapamientos con Stone Panda y RedFoxtrot

Cisco Talos también identificó solapamientos tácticos e infraestructurales entre UAT-7290 y otros actores chinos conocidos, como Stone Panda y RedFoxtrot (también denominado Nomad Panda). Estos vínculos incluyen patrones de ataque similares, uso compartido de infraestructura y coincidencias en herramientas y malware.

Acceso inicial mediante exploits públicos

A diferencia de otros grupos APT que desarrollan exploits propietarios, UAT-7290 parece depender principalmente de código de prueba de concepto (PoC) disponible públicamente. Según los investigadores:

Citar"El actor aprovecha exploits de día uno y fuerza bruta SSH específica de objetivos para comprometer dispositivos de borde públicos, obtener acceso inicial y elevar privilegios en sistemas comprometidos."

Este enfoque reduce los costes operativos del grupo y le permite adaptarse rápidamente a nuevas superficies de ataque.

En fin...

La actividad de UAT-7290 confirma una tendencia clara: los actores de amenazas vinculados a China continúan perfeccionando operaciones de ciberespionaje silenciosas, persistentes y altamente estratégicas. Su capacidad para actuar tanto como grupo de espionaje como facilitador de acceso inicial lo convierte en una amenaza especialmente peligrosa para sectores críticos como telecomunicaciones e infraestructura digital.

Para las organizaciones, este caso subraya la importancia de asegurar dispositivos de borde, aplicar parches oportunamente, limitar accesos SSH expuestos y reforzar la visibilidad sobre actividades de reconocimiento prolongado.

Fuente: https://thehackernews.com/