Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias UAT-8302: APT chino ataca gobiernos con malware NetDraft

UAT-8302: APT chino ataca gobiernos con malware NetDraft

por Dragora

El panorama global de las amenazas avanzadas vuelve a intensificarse con la aparición de una campaña de ciberespionaje altamente sofisticada atribuida a un actor alineado con China. Este grupo, identificado como UAT-8302 por investigadores de Cisco Talos, ha estado llevando a cabo ataques dirigidos contra entidades gubernamentales en Sudamérica desde finales de 2024, extendiendo posteriormente sus operaciones hacia agencias estatales en el sureste de Europa durante 2025.

UAT-8302: una amenaza APT con alcance global

La actividad de UAT-8302 refleja un nivel de sofisticación característico de operaciones de ciberespionaje patrocinadas por Estados. Su capacidad para operar en múltiples regiones geográficas y comprometer infraestructuras críticas demuestra una estrategia bien coordinada, centrada en la obtención de inteligencia y el acceso persistente a sistemas gubernamentales.

Uno de los aspectos más preocupantes de esta campaña es el uso de herramientas y malware previamente asociados con otros grupos APT vinculados a China. Esta reutilización de recursos sugiere una posible colaboración o intercambio de capacidades dentro de un ecosistema de amenazas más amplio.

NetDraft (NosyDoor): la pieza clave del ataque

Entre las herramientas utilizadas por UAT-8302 destaca NetDraft, también conocido como NosyDoor. Este backdoor basado en .NET es una variante en C# del malware FINALDRAFT, previamente vinculado a grupos como:

  • Ink Dragon
  • CL-STA-0049
  • Earth Alux
  • Jewelbug
  • REF7707

El uso de NetDraft permite a los atacantes establecer persistencia en sistemas comprometidos, ejecutar comandos remotos y exfiltrar información sensible, consolidando su control sobre las redes infiltradas.

Además, la empresa ESET ha vinculado el uso de este malware a un grupo denominado LongNosedGoblin, mientras que la firma rusa Solar lo identifica como LuckyStrike Agent cuando es utilizado por actores como Erudite Mogwai (también conocidos como Space Pirates o Webworm).

Ecosistema de malware: múltiples herramientas interconectadas

UAT-8302 no se limita a una sola herramienta. Su arsenal incluye múltiples familias de malware avanzadas, entre ellas:

  • CloudSorcerer: utilizada en ataques contra entidades rusas desde 2024
  • SNOWLIGHT: herramienta de staging vinculada a otros clusters APT
  • Deed RAT: sucesor del conocido ShadowPad
  • Draculoader: utilizado para desplegar cargas útiles adicionales

Una variante particularmente interesante es SNOWRUST, una versión de SNOWLIGHT desarrollada en Rust, utilizada para descargar y ejecutar cargas útiles desde servidores remotos. Esta evolución tecnológica demuestra la capacidad del grupo para adaptar sus herramientas a nuevos entornos y lenguajes de programación.

Cadena de ataque: desde la intrusión hasta la persistencia

Aunque el vector de acceso inicial no ha sido confirmado, los investigadores sospechan que UAT-8302 utiliza exploits de día cero y vulnerabilidades en aplicaciones web para infiltrarse en redes objetivo.

Una vez dentro, el grupo sigue una cadena de ataque bien definida:

  1. Reconocimiento exhaustivo de la red
  2. Uso de herramientas como gogo para escaneo automatizado
  3. Movimiento lateral entre sistemas comprometidos
  4. Despliegue de backdoors como NetDraft y CloudSorcerer
  5. Establecimiento de persistencia mediante VShell

Además, los atacantes configuran canales alternativos de acceso utilizando herramientas como Stowaway y SoftEther VPN, lo que les permite mantener el control incluso si se detecta y elimina una de sus puertas traseras.

“Premier Pass-as-a-Service”: colaboración entre APTs

Uno de los hallazgos más relevantes de esta campaña es la evidencia de un modelo de colaboración entre grupos APT conocido como “Premier Pass-as-a-Service”. Este concepto, documentado por Trend Micro, describe un sistema en el que un grupo obtiene acceso inicial a una red y luego lo transfiere a otro grupo para su explotación.

Por ejemplo, se ha observado que actores como Earth Estries proporcionan acceso a Earth Naga, reduciendo significativamente el tiempo necesario para fases críticas como reconocimiento y movimiento lateral.

Este modelo representa una evolución en el cibercrimen organizado, donde la especialización y la colaboración permiten operaciones más rápidas, eficientes y difíciles de detectar.

Impacto en la ciberseguridad global

La actividad de UAT-8302 pone de manifiesto varias tendencias clave en el panorama actual:

  • Reutilización de herramientas entre grupos APT
  • Colaboración estratégica entre actores estatales
  • Uso de malware modular y adaptable
  • Enfoque en objetivos gubernamentales y geopolíticos

Estas características hacen que la detección y mitigación de este tipo de amenazas sea especialmente compleja, requiriendo soluciones avanzadas de inteligencia de amenazas y monitoreo continuo.

Recomendaciones para organizaciones

Para mitigar el riesgo asociado a este tipo de campañas, se recomienda:

  • Implementar soluciones EDR y XDR para detección avanzada
  • Monitorizar tráfico hacia servicios VPN y proxies sospechosos
  • Aplicar parches de seguridad de forma proactiva
  • Segmentar redes para limitar el movimiento lateral
  • Capacitar al personal en detección de amenazas avanzadas

Además, es fundamental contar con inteligencia de amenazas actualizada que permita identificar indicadores de compromiso (IoCs) asociados a grupos como UAT-8302.

En fin…

La campaña atribuida a UAT-8302 representa un ejemplo claro de cómo los actores APT están evolucionando hacia modelos más colaborativos y sofisticados. El uso de múltiples herramientas, la reutilización de malware y la implementación de estrategias como “Premier Pass-as-a-Service” marcan un nuevo estándar en el ciberespionaje moderno.

Para las organizaciones, especialmente aquellas en sectores gubernamentales, la clave está en adoptar un enfoque proactivo y multicapa en ciberseguridad. En un entorno donde las amenazas no solo son persistentes, sino también altamente coordinadas, la anticipación y la resiliencia se convierten en los pilares fundamentales de la defensa digital.

Fuente: The Hacker News

You may also like

Dejar Comentario

Click to listen highlighted text!