Beobachtungen
Der IT-Sicherheitsdienstleister Cisco Talos berichtet über eine Kampagne der Cybergruppierung UAT-8302. Die Angreifer nehmen gezielt Regierungseinrichtungen in Südamerika (seit Ende 2024) sowie in Südosteuropa (2025) ins Visier. Ziel der Operationen ist die Infiltration von Netzwerken und die langfristige Spionage durch den Einsatz spezialisierter Malware-Familien.
Methoden
Die Gruppe nutzt eine Kombination aus maßgeschneiderten Backdoors und öffentlich verfügbaren Tools. Zu den Kernkomponenten gehören:
- Einsatz von Shared-Malware
Die Kampagne zeichnet sich zudem durch die Nutzung von Malware aus, die auch von anderen Akteuren (z. B. Earth Estries, Space Pirates) verwendet wird, was auf eine enge operative Zusammenarbeit oder geteilte Ressourcen hindeutet. Unter anderem wird eine .NET-basierten Backdoor namens NetDraft, CloudSorcerer 3.0 und dem Rust-basierten Stager SNOWRUST verwendet, um VShell-Payloads nachzuladen. - Initialer Zugriff
Es wird vermutet, dass die Angreifer Zero-Day- oder N-Day-Exploits in Webanwendungen ausnutzen. - Post-Exploitation
Nach dem Eindringen führt die Gruppe umfangreiche Aufklärungsmaßnahmen mit Tools wie gogo durch und bewegt sich lateral im Netzwerk. Zur Sicherung des Zugangs werden zudem VPN- und Proxy-Tools wie Stowaway und SoftEther VPN installiert.
Attribution
Die Gruppierung UAT-8302 wird mit hoher Wahrscheinlichkeit dem chinesischen Staat zugeordnet. Diese Einschätzung stützt sich auf die exklusive Nutzung von Werkzeugen, die zuvor anderen chinesischen APT-Gruppen wie Jewelbug (LongNosedGoblin), Earth Estries oder UNC5174 zugeschrieben wurden. Zudem sind viele der verwendeten Skripte und Tools in vereinfachtem Chinesisch verfasst oder stammen aus chinesischsprachigen Repositories.
Handlungsempfehlungen
Cisco Talos hat einen technischen Bericht veröffentlicht, der detaillierte Einblicke in die Infrastruktur der Angreifer bietet. Da die Gruppe verstärkt Sicherheitslücken in Webanwendungen nutzt, wird Organisationen im öffentlichen Sektor dringend empfohlen, ihre extern erreichbaren Dienste zeitnah zu patchen und ihre Systeme mithilfe der bereitgestellten Indicators of Compromise (IOCs) auf Anzeichen einer Kompromittierung zu prüfen.