Een Chinese nexus-dreigingsacteur, bekend als UAT-7290 wordt toegeschreven aan op spionage gerichte inbraken tegen entiteiten in Zuid-Azië en Zuidoost-Europa.
Het activiteitencluster, dat in ieder geval sinds 2022 actief is, richt zich voornamelijk op uitgebreide technische verkenningen van doelorganisaties voordat aanvallen worden geïnitieerd, wat uiteindelijk leidt tot de inzet van malwarefamilies zoals RushDrop, DriveSwitch en SilentRaid, volgens een Cisco Talos-rapport dat vandaag is gepubliceerd.
“Naast het uitvoeren van spionagegerichte aanvallen waarbij UAT-7290 zich diep in de netwerkinfrastructuur van een slachtoffer graaft, suggereren hun tactieken, technieken en procedures (TTP’s) en tooling dat deze actor ook Operational Relay Box (ORB’s) knooppunten opzet”, aldus onderzoekers Asheer Malhotra, Vitor Ventura en Brandon White.
“De ORB-infrastructuur kan vervolgens door andere Chinese nexusactoren worden gebruikt bij hun kwaadaardige operaties, wat de dubbele rol van UAT-7290 als een door spionage gemotiveerde dreigingsacteur en als een initiële toegangsgroep aangeeft.”
Aanvallen van de tegenstander waren vooral gericht op telecommunicatieaanbieders in Zuid-Azië. Recente inbraakgolven hebben zich echter verspreid naar organisaties in Zuidoost-Europa.
Het vakgebied van de UAT-7290 is breed en gevarieerd, en vertrouwt op een combinatie van open-source malware, aangepaste tools en payloads voor kwetsbaarheden van één dag in populaire edge-netwerkproducten. Enkele van de opmerkelijke Windows-implantaten die door de bedreigingsacteur worden gebruikt, zijn RedLeaves (ook bekend als BUGJUICE) en ShadowPad, beide exclusief gekoppeld aan Chinese hackgroepen.
Dat gezegd hebbende, maakt de groep voornamelijk gebruik van een op Linux gebaseerde malwaresuite bestaande uit:
- RushDrop (ook bekend als ChronosRAT), een druppelaar die de infectieketen initieert
- DriveSwitch, een randmalware die wordt gebruikt om SilentRaid op het geïnfecteerde systeem uit te voeren
- SilentRaid (ook bekend als MystRodX), een op C++ gebaseerd implantaat dat permanente toegang tot gecompromitteerde eindpunten tot stand brengt en een plug-in-achtige aanpak gebruikt om te communiceren met een externe server, een externe shell te openen, port forwarding in te stellen en bestandsbewerkingen uit te voeren
Het is vermeldenswaard dat een eerdere analyse van QiAnXin XLab MystRodX markeerde als een variant van ChronosRAT, een modulair ELF-binair bestand dat in staat is tot shellcode-uitvoering, bestandsbeheer, keylogging, port forwarding, externe shell, screenshot-opname en proxy. Palo Alto Networks Unit 42 volgt het bijbehorende dreigingscluster onder de naam CL-STA-0969.
Ook ingezet door UAT-7290 is een achterdeur genaamd Bulbature die is ontworpen om een gecompromitteerd edge-apparaat te transformeren in een ORB. Het werd voor het eerst gedocumenteerd door Sekoia in oktober 2024.
Het cyberbeveiligingsbedrijf zei dat de bedreigingsacteur tactische en infrastructurele overlappingen deelt met aan China gelieerde tegenstanders, bekend als Stone Panda en RedFoxtrot (ook bekend als Nomad Panda).
“De bedreigingsacteur voert uitgebreide verkenningen uit van doelorganisaties voordat hij inbraken uitvoert. UAT-7290 maakt gebruik van eenmalige exploits en doelspecifieke SSH-brute force om openbare edge-apparaten te compromitteren om initiële toegang te krijgen en rechten op gecompromitteerde systemen te escaleren”, aldus de onderzoekers. “De acteur lijkt te vertrouwen op openbaar beschikbare proof-of-concept-exploitcode, in plaats van zijn eigen code te ontwikkelen.”
