Er is waargenomen dat een bedreigingsactoren die waarschijnlijk op één lijn liggen met China zich ten minste sinds vorig jaar richten op kritieke infrastructuursectoren in Noord-Amerika.
Cisco Talos, dat de activiteit onder de naam volgt UAT-8837beoordeelde het land als een China-nexus geavanceerde persistente dreiging (APT) met gemiddeld vertrouwen, gebaseerd op tactische overlappingen met andere campagnes van dreigingsactoren uit de regio.
Het cyberbeveiligingsbedrijf merkte op dat de dreigingsactor “in de eerste plaats belast is met het verkrijgen van initiële toegang tot hoogwaardige organisaties”, gebaseerd op de waargenomen tactieken, technieken en procedures (TTP’s) en post-compromisactiviteiten.
“Na het verkrijgen van initiële toegang – hetzij door succesvolle exploitatie van kwetsbare servers of door het gebruik van gecompromitteerde inloggegevens – zet UAT-8837 voornamelijk open-source tools in om gevoelige informatie te verzamelen, zoals inloggegevens, beveiligingsconfiguraties en domein- en Active Directory (AD)-informatie om meerdere toegangskanalen voor hun slachtoffers te creëren”, voegde het eraan toe.
UAT-8837 zou recentelijk een kritieke zero-day kwetsbaarheid in Sitecore (CVE-2025-53690, CVSS-score: 9,0) hebben misbruikt om initiële toegang te verkrijgen, waarbij de inbraak TTP, tooling en infrastructuur deelt die overeenkomsten vertoont met een campagne die in september 2025 door Mandiant, eigendom van Google, werd uitgewerkt.
Hoewel het niet duidelijk is of deze twee clusters het werk zijn van dezelfde actor, suggereert dit dat UAT-8837 mogelijk toegang heeft tot zero-day exploits om cyberaanvallen uit te voeren.
Zodra de tegenstander voet aan de grond krijgt in doelnetwerken, voert hij een voorlopige verkenning uit, gevolgd door het uitschakelen van RestrictedAdmin voor Remote Desktop Protocol (RDP), een beveiligingsfunctie die ervoor zorgt dat inloggegevens en andere gebruikersbronnen niet worden blootgesteld aan gecompromitteerde externe hosts.
Er wordt ook gezegd dat UAT-8837 “cmd.exe” opent om praktische toetsenbordactiviteit uit te voeren op de geïnfecteerde host en verschillende artefacten te downloaden om post-exploitatie mogelijk te maken. Enkele van de opmerkelijke hulpmiddelen zijn onder meer:
- GoTokenTheft, om toegangstokens te stelen
- EarthWorm, om met behulp van SOCKS een omgekeerde tunnel te creëren naar door aanvallers bestuurde servers
- DWAgent, om permanente toegang op afstand en Active Directory-verkenning mogelijk te maken
- SharpHound, om Active Directory-informatie te verzamelen
- Impacket, om opdrachten uit te voeren met verhoogde rechten
- GoExec, een op Golang gebaseerd hulpmiddel om opdrachten uit te voeren op andere verbonden externe eindpunten binnen het netwerk van het slachtoffer
- Rubeus, een op C# gebaseerde toolset voor Kerberos-interactie en -misbruik
- Certipy, een tool voor detectie en misbruik van Active Directory
“UAT-8837 kan tijdens de inbraak een reeks opdrachten uitvoeren om gevoelige informatie te verkrijgen, zoals inloggegevens van slachtofferorganisaties”, aldus onderzoekers Asheer Malhotra, Vitor Ventura en Brandon White.
“In één slachtofferorganisatie exfiltreerde UAT-8837 op DLL gebaseerde gedeelde bibliotheken gerelateerd aan de producten van het slachtoffer, waardoor de mogelijkheid ontstond dat deze bibliotheken in de toekomst door trojans zouden kunnen worden gehackt. Dit schept kansen voor compromissen in de toeleveringsketen en reverse engineering om kwetsbaarheden in die producten te vinden.”
De onthulling komt een week nadat Talos een andere Chinese nexus-bedreigingsacteur, bekend als UAT-7290, heeft toegeschreven aan spionagegerichte inbraken tegen entiteiten in Zuid-Azië en Zuidoost-Europa met behulp van malwarefamilies zoals RushDrop, DriveSwitch en SilentRaid.
De afgelopen jaren hebben de zorgen over Chinese dreigingsactoren die zich richten op kritieke infrastructuur ertoe geleid dat westerse regeringen verschillende waarschuwingen hebben afgegeven. Eerder deze week waarschuwden cyberveiligheids- en inlichtingendiensten uit Australië, Duitsland, Nederland, Nieuw-Zeeland, het Verenigd Koninkrijk en de VS voor de groeiende bedreigingen voor operationele technologie (OT)-omgevingen.
De richtlijnen bieden een raamwerk voor het ontwerpen, beveiligen en beheren van connectiviteit in OT-systemen, waarbij organisaties worden aangespoord om de blootstelling te beperken, netwerkverbindingen te centraliseren en te standaardiseren, veilige protocollen te gebruiken, de OT-grenzen te versterken, ervoor te zorgen dat alle connectiviteit wordt gemonitord en geregistreerd, en te voorkomen dat verouderde middelen worden gebruikt die het risico op beveiligingsincidenten kunnen vergroten.
“Het is bekend dat blootgestelde en onveilige OT-connectiviteit het doelwit is van zowel opportunistische als zeer capabele actoren”, aldus de agentschappen. “Deze activiteit omvat door de staat gesponsorde actoren die zich actief richten op kritieke nationale infrastructuurnetwerken (CNI). De dreiging beperkt zich niet alleen tot door de staat gesponsorde actoren, waarbij recente incidenten laten zien hoe blootgestelde OT-infrastructuur opportunistisch het doelwit is van hacktivisten.”
