Atribución y alcance
Un grupo de amenaza persistente avanzada (APT) vinculado a China ha sido identificado como responsable de ataques contra entidades gubernamentales en Sudamérica desde al menos finales de 2024, y contra agencias gubernamentales en el sureste de Europa en 2025. La actividad es rastreada por Cisco Talos bajo el nombre UAT-8302, y la fase posterior a la explotación implica el despliegue de familias de malware personalizadas que también han sido utilizadas por otros grupos de hackers alineados con China.
Malware clave utilizado
Entre las familias de malware destacadas se encuentra NetDraft (también conocido como NosyDoor), un backdoor basado en .NET que es una variante en C# de FINALDRAFT (alias Squidoor), previamente vinculado a grupos como Ink Dragon, CL-STA-0049, Earth Alux, Jewelbug y REF7707. ESET atribuye el uso de NosyDoor a un grupo que llama LongNosedGoblin. Además, el mismo malware ha sido desplegado contra organizaciones de TI rusas por un actor de amenazas denominado Erudite Mogwai (también conocido como Space Pirates y Webworm), según la empresa de ciberseguridad rusa Solar, que lo denomina LuckyStrike Agent.
Otras herramientas empleadas
- CloudSorcerer: un backdoor observado en ataques contra entidades rusas desde mayo de 2024.
- SNOWLIGHT: un cargador VShell utilizado por UNC5174, UNC6586 y UAT-6382.
- Deed RAT (alias Snappybee): sucesor de ShadowPad, y Zingdoor, desplegados por Earth Estries a finales de 2024.
- Draculoader: un cargador genérico de shellcode para distribuir Crowdoor y HemiGate.
Según los investigadores de Talos, Jungsoo An, Asheer Malhotra y Brandon White, el malware desplegado por UAT-8302 lo conecta con varios grupos de amenazas previamente divulgados, lo que indica una estrecha relación operativa entre ellos. En general, los diversos artefactos maliciosos sugieren que el grupo tiene acceso a herramientas utilizadas por otros actores APT sofisticados, todos evaluados como vinculados a China o de habla china por informes de terceros.
Métodos de ataque
Actualmente se desconoce el método de acceso inicial utilizado por el adversario, pero se sospecha que implica la explotación de vulnerabilidades de día cero y de día conocido en aplicaciones web. Una vez obtenido un punto de apoyo, los atacantes realizan un extenso reconocimiento para mapear la red, ejecutan herramientas de código abierto como gogo para escaneo automatizado y se mueven lateralmente por el entorno. Las cadenas de ataque culminan con el despliegue de NetDraft, CloudSorcerer (versión 3.0) y VShell. UAT-8302 también ha sido observado usando una variante de SNOWLIGHT basada en Rust, llamada SNOWRUST, para descargar la carga útil VShell desde un servidor remoto y ejecutarla. Además del malware personalizado, el actor establece medios alternativos de acceso backdoor mediante herramientas de proxy y VPN como Stowaway y SoftEther VPN.
Colaboración entre grupos alineados con China
Los hallazgos subrayan la tendencia de tácticas de colaboración avanzada entre múltiples grupos alineados con China. En octubre de 2025, Trend Micro reveló un fenómeno llamado 'Premier Pass-as-a-Service', donde el acceso inicial obtenido por Earth Estries se transfiere a Earth Naga para explotación posterior, complicando los esfuerzos de atribución. Se estima que esta asociación existe desde al menos finales de 2023. Trend Micro señaló que 'Premier Pass-as-a-Service proporciona acceso directo a activos críticos, reduciendo el tiempo dedicado a las fases de reconocimiento, explotación inicial y movimiento lateral. Aunque aún no se conoce el alcance total de este modelo, el número limitado de incidentes observados, combinado con el riesgo sustancial de exposición que implica, sugiere que el acceso probablemente esté restringido a un pequeño círculo de actores de amenazas.'
