El panorama global de las amenazas avanzadas vuelve a intensificarse con la aparición de una campaña de ciberespionaje altamente sofisticada atribuida a un actor alineado con China. Este grupo, identificado como UAT-8302 por investigadores de Cisco Talos, ha estado llevando a cabo ataques dirigidos contra entidades gubernamentales en Sudamérica desde finales de 2024, extendiendo posteriormente sus operaciones hacia agencias estatales en el sureste de Europa durante 2025.
UAT-8302: una amenaza APT con alcance global
La actividad de UAT-8302 refleja un nivel de sofisticación característico de operaciones de ciberespionaje patrocinadas por Estados. Su capacidad para operar en múltiples regiones geográficas y comprometer infraestructuras críticas demuestra una estrategia bien coordinada, centrada en la obtención de inteligencia y el acceso persistente a sistemas gubernamentales.
Uno de los aspectos más preocupantes de esta campaña es el uso de herramientas y malware previamente asociados con otros grupos APT vinculados a China. Esta reutilización de recursos sugiere una posible colaboración o intercambio de capacidades dentro de un ecosistema de amenazas más amplio.
NetDraft (NosyDoor): la pieza clave del ataque
Entre las herramientas utilizadas por UAT-8302 destaca NetDraft, también conocido como NosyDoor. Este backdoor basado en .NET es una variante en C# del malware FINALDRAFT, previamente vinculado a grupos como:
- Ink Dragon
- CL-STA-0049
- Earth Alux
- Jewelbug
- REF7707
El uso de NetDraft permite a los atacantes establecer persistencia en sistemas comprometidos, ejecutar comandos remotos y exfiltrar información sensible, consolidando su control sobre las redes infiltradas.
Además, la empresa ESET ha vinculado el uso de este malware a un grupo denominado LongNosedGoblin, mientras que la firma rusa Solar lo identifica como LuckyStrike Agent cuando es utilizado por actores como Erudite Mogwai (también conocidos como Space Pirates o Webworm).
Ecosistema de malware: múltiples herramientas interconectadas
UAT-8302 no se limita a una sola herramienta. Su arsenal incluye múltiples familias de malware avanzadas, entre ellas:
- CloudSorcerer: utilizada en ataques contra entidades rusas desde 2024
- SNOWLIGHT: herramienta de staging vinculada a otros clusters APT
- Deed RAT: sucesor del conocido ShadowPad
- Draculoader: utilizado para desplegar cargas útiles adicionales
Una variante particularmente interesante es SNOWRUST, una versión de SNOWLIGHT desarrollada en Rust, utilizada para descargar y ejecutar cargas útiles desde servidores remotos. Esta evolución tecnológica demuestra la capacidad del grupo para adaptar sus herramientas a nuevos entornos y lenguajes de programación.
Cadena de ataque: desde la intrusión hasta la persistencia
Aunque el vector de acceso inicial no ha sido confirmado, los investigadores sospechan que UAT-8302 utiliza exploits de día cero y vulnerabilidades en aplicaciones web para infiltrarse en redes objetivo.
Una vez dentro, el grupo sigue una cadena de ataque bien definida:
- Reconocimiento exhaustivo de la red
- Uso de herramientas como gogo para escaneo automatizado
- Movimiento lateral entre sistemas comprometidos
- Despliegue de backdoors como NetDraft y CloudSorcerer
- Establecimiento de persistencia mediante VShell
Además, los atacantes configuran canales alternativos de acceso utilizando herramientas como Stowaway y SoftEther VPN, lo que les permite mantener el control incluso si se detecta y elimina una de sus puertas traseras.

“Premier Pass-as-a-Service”: colaboración entre APTs
Uno de los hallazgos más relevantes de esta campaña es la evidencia de un modelo de colaboración entre grupos APT conocido como “Premier Pass-as-a-Service”. Este concepto, documentado por Trend Micro, describe un sistema en el que un grupo obtiene acceso inicial a una red y luego lo transfiere a otro grupo para su explotación.
Por ejemplo, se ha observado que actores como Earth Estries proporcionan acceso a Earth Naga, reduciendo significativamente el tiempo necesario para fases críticas como reconocimiento y movimiento lateral.
Este modelo representa una evolución en el cibercrimen organizado, donde la especialización y la colaboración permiten operaciones más rápidas, eficientes y difíciles de detectar.
Impacto en la ciberseguridad global
La actividad de UAT-8302 pone de manifiesto varias tendencias clave en el panorama actual:
- Reutilización de herramientas entre grupos APT
- Colaboración estratégica entre actores estatales
- Uso de malware modular y adaptable
- Enfoque en objetivos gubernamentales y geopolíticos
Estas características hacen que la detección y mitigación de este tipo de amenazas sea especialmente compleja, requiriendo soluciones avanzadas de inteligencia de amenazas y monitoreo continuo.
Recomendaciones para organizaciones
Para mitigar el riesgo asociado a este tipo de campañas, se recomienda:
- Implementar soluciones EDR y XDR para detección avanzada
- Monitorizar tráfico hacia servicios VPN y proxies sospechosos
- Aplicar parches de seguridad de forma proactiva
- Segmentar redes para limitar el movimiento lateral
- Capacitar al personal en detección de amenazas avanzadas
Además, es fundamental contar con inteligencia de amenazas actualizada que permita identificar indicadores de compromiso (IoCs) asociados a grupos como UAT-8302.
En fin…
La campaña atribuida a UAT-8302 representa un ejemplo claro de cómo los actores APT están evolucionando hacia modelos más colaborativos y sofisticados. El uso de múltiples herramientas, la reutilización de malware y la implementación de estrategias como “Premier Pass-as-a-Service” marcan un nuevo estándar en el ciberespionaje moderno.
Para las organizaciones, especialmente aquellas en sectores gubernamentales, la clave está en adoptar un enfoque proactivo y multicapa en ciberseguridad. En un entorno donde las amenazas no solo son persistentes, sino también altamente coordinadas, la anticipación y la resiliencia se convierten en los pilares fundamentales de la defensa digital.
Fuente: The Hacker News
