Aug 15, 2025Ravie Lakshmananmalware / código abierto Un actor de amenaza persistente avanzada de habla china (APT) se ha observado que se dirige a entidades de infraestructura web en Taiwán utilizando versiones personalizadas de herramientas de origen abierto con el objetivo de establecer un acceso a largo plazo dentro de los entornos de víctimas de alto valor. La actividad ha sido atribuida por Cisco Talos a un clúster de actividad que rastrea como UAT-7237, que se cree que es activo desde al menos 2022. El grupo de piratería se evalúa como un subgrupo de UAT-5918, que se sabe que atacaba las entidades de infraestructura crítica en la Interructura en Taiwan más lejos de 2023 «. Dentro de Taiwán y depende en gran medida del uso de herramientas de origen abierto, personalizadas hasta cierto punto, que probablemente evaden la detección y realice actividades maliciosas dentro de la empresa comprometida «, dijo Talos. Los ataques se caracterizan por el uso de un cargador de shellcode a medida denominado Soundbill que está diseñado para decodificar y lanzar cargas útiles secundarias, como Cobalt Strike. A pesar de las superposiciones tácticas con UAT-5918, la artesanía de UAT-7237 exhibe desviaciones notables, incluida su dependencia de la huelga de cobalto como puerta trasera primaria, el despliegue selectivo de capas web después del compromiso inicial, y la incorporación de acceso directo a protocolo de escritorio (RDP) y clientes VPN para el acceso persistente. Las cadenas de ataque comienzan con la explotación de fallas de seguridad conocidas contra servidores no parpadeados expuestos a Internet, seguido de realizar un reconocimiento inicial y huellas dactilares para determinar si el objetivo es de interés para los actores de amenaza para la explotación de seguimiento. «Si bien UAT-5918 inmediatamente comienza a implementar proyectiles web para establecer canales de acceso traseros, UAT-7237 se desvía significativamente, utilizando el cliente VPN Softher (similar al Typhoon de Flax) para persistir su acceso y luego acceder a los sistemas a través de RDP», los investigadores Asheer Malhotra, Brandon White y Vitor Ventura dijeron. Una vez que este paso es exitoso, el atacante gira a otros sistemas en toda la empresa para expandir su alcance y llevar a cabo nuevas actividades, incluido el despliegue de Soundbill, un cargador de shellcode basado en Vthello, para el lanzamiento de Cobalt Strike. También se implementa en hosts comprometidos JuicyPotato, una herramienta de escalada de privilegios ampliamente utilizada por varios grupos de piratería chinos y Mimikatz para extraer credenciales. En un giro interesante, los ataques posteriores han aprovechado una versión actualizada de Soundbill que incrusta una instancia de Mimikatz para lograr los mismos objetivos. Además de usar FSCAN para identificar puertos abiertos contra subredes IP, se ha observado que UAT-7237 intenta hacer cambios en el registro de Windows para deshabilitar el control de la cuenta de usuario (UAC) y activar el almacenamiento de contraseñas de ClearText. «UAT-7237 especificó el chino simplificado como el lenguaje de visualización preferido en su [SoftEther] El archivo de configuración del idioma del cliente de VPN, lo que indica que los operadores eran competentes con el idioma «, señaló Talos. La divulgación se produce cuando Intezer dijo que descubrió una nueva variante de una puerta trasera conocida llamada Firewood asociada con un actor de amenaza alineado por China, llamado Gelsemium, aunque con baja confianza. USBDEV.KO para ocultar procesos y ejecutar varios comandos enviados por un servidor controlado por el atacante.