Специалисты Cisco Talos опубликовали отчет под названием «Связанная с Китаем группа UAT-7290 атакует телекоммуникационные компании, используя вредоносное ПО для Linux и узлы ORB». Согласно данным исследователей Ашира Малхотры, Витора Вентуры и Брэндона Уайта, данная киберпреступная группировка активна как минимум с 2022 года. Анализ подтверждает, что деятельность злоумышленников имеет китайское происхождение и направлена на стратегически важные объекты инфраструктуры.
В центре внимания хакеров находится телекоммуникационный сектор. Первоначально основным регионом для атак была Южная Азия, однако недавние волны вторжений свидетельствуют о расширении географии интересов группировки на Юго-Восточную Европу. Исследователи выделяют «двойную роль» UAT-7290 в экосистеме кибершпионажа: они не только глубоко внедряются в корпоративные сети жертв для сбора разведданных, но и обеспечивают начальный доступ и поддержку инфраструктуры для создания узлов оперативных ретрансляторов (Operational Relay Box — ORB).
Тактика, техника и процедуры (TTPs) группировки характеризуются тщательной предварительной разведкой. Для первоначального проникновения злоумышленники атакуют общедоступные периферийные сетевые устройства, используя «уязвимости одного дня» (one-day vulnerabilities) в популярных продуктах. Примечательно, что вместо разработки собственных инструментов взлома хакеры полагаются на общедоступный код подтверждения концепции (PoC). В случаях, когда эксплуатация уязвимостей невозможна, применяется целевой перебор паролей (brute force) по протоколу SSH с последующим повышением привилегий на скомпрометированных системах.
Арсенал UAT-7290 представляет собой сочетание программного обеспечения с открытым исходным кодом, кастомных инструментов и специфических полезных нагрузок. Особое внимание уделяется набору вредоносных программ для Linux. Цепочка заражения часто начинается с дроппера RushDrop, также известного как ChronosRAT. За ним следует DriveSwitch — вспомогательное вредоносное ПО, предназначенное для запуска основного импланта SilentRaid на инфицированной системе.
Инструмент SilentRaid, также идентифицируемый как MystRodX, представляет собой имплант на языке C++, который обеспечивает постоянный доступ к системе. Он использует плагинную архитектуру для связи с внешними серверами, открытия удаленных оболочек, настройки переадресации портов и выполнения файловых операций. Ранее проведенный анализ QiAnXin XLab классифицировал этот инструмент как вариант модульного ELF-бинарного файла ChronosRAT, способного выполнять шеллкод, управлять файлами, перехватывать нажатия клавиш (кейлоггинг), делать снимки экрана и работать как прокси.
Для создания инфраструктуры ORB злоумышленники используют бэкдор Bulbature. Этот инструмент специально разработан для превращения скомпрометированного периферийного устройства в узел ретрансляции, который впоследствии может использоваться другими китайскими группировками для проведения вредоносных операций. Впервые данное вредоносное ПО было задокументировано специалистами компании Sekoia в октябре 2024 года.
Помимо Linux-инструментов, UAT-7290 активно применяет импланты для операционной системы Windows. В их числе были замечены RedLeaves (также известный как BUGJUICE) и ShadowPad. Ключевой особенностью обоих инструментов является их исключительная связь с китайскими хакерскими группами, что служит дополнительным доказательством атрибуции атак.
По данным Palo Alto Networks Unit 42, отслеживающей этот кластер угроз под именем CL-STA-0969, группировка имеет тактические и инфраструктурные пересечения с другими известными акторами. В частности, наблюдаются совпадения с деятельностью групп Stone Panda и RedFoxtrot (также известной как Nomad Panda), что указывает на тесную координацию или обмен ресурсами внутри китайского кибершпионского сообщества.
Изображение носит иллюстративный характер
В центре внимания хакеров находится телекоммуникационный сектор. Первоначально основным регионом для атак была Южная Азия, однако недавние волны вторжений свидетельствуют о расширении географии интересов группировки на Юго-Восточную Европу. Исследователи выделяют «двойную роль» UAT-7290 в экосистеме кибершпионажа: они не только глубоко внедряются в корпоративные сети жертв для сбора разведданных, но и обеспечивают начальный доступ и поддержку инфраструктуры для создания узлов оперативных ретрансляторов (Operational Relay Box — ORB).
Тактика, техника и процедуры (TTPs) группировки характеризуются тщательной предварительной разведкой. Для первоначального проникновения злоумышленники атакуют общедоступные периферийные сетевые устройства, используя «уязвимости одного дня» (one-day vulnerabilities) в популярных продуктах. Примечательно, что вместо разработки собственных инструментов взлома хакеры полагаются на общедоступный код подтверждения концепции (PoC). В случаях, когда эксплуатация уязвимостей невозможна, применяется целевой перебор паролей (brute force) по протоколу SSH с последующим повышением привилегий на скомпрометированных системах.
Арсенал UAT-7290 представляет собой сочетание программного обеспечения с открытым исходным кодом, кастомных инструментов и специфических полезных нагрузок. Особое внимание уделяется набору вредоносных программ для Linux. Цепочка заражения часто начинается с дроппера RushDrop, также известного как ChronosRAT. За ним следует DriveSwitch — вспомогательное вредоносное ПО, предназначенное для запуска основного импланта SilentRaid на инфицированной системе.
Инструмент SilentRaid, также идентифицируемый как MystRodX, представляет собой имплант на языке C++, который обеспечивает постоянный доступ к системе. Он использует плагинную архитектуру для связи с внешними серверами, открытия удаленных оболочек, настройки переадресации портов и выполнения файловых операций. Ранее проведенный анализ QiAnXin XLab классифицировал этот инструмент как вариант модульного ELF-бинарного файла ChronosRAT, способного выполнять шеллкод, управлять файлами, перехватывать нажатия клавиш (кейлоггинг), делать снимки экрана и работать как прокси.
Для создания инфраструктуры ORB злоумышленники используют бэкдор Bulbature. Этот инструмент специально разработан для превращения скомпрометированного периферийного устройства в узел ретрансляции, который впоследствии может использоваться другими китайскими группировками для проведения вредоносных операций. Впервые данное вредоносное ПО было задокументировано специалистами компании Sekoia в октябре 2024 года.
Помимо Linux-инструментов, UAT-7290 активно применяет импланты для операционной системы Windows. В их числе были замечены RedLeaves (также известный как BUGJUICE) и ShadowPad. Ключевой особенностью обоих инструментов является их исключительная связь с китайскими хакерскими группами, что служит дополнительным доказательством атрибуции атак.
По данным Palo Alto Networks Unit 42, отслеживающей этот кластер угроз под именем CL-STA-0969, группировка имеет тактические и инфраструктурные пересечения с другими известными акторами. В частности, наблюдаются совпадения с деятельностью групп Stone Panda и RedFoxtrot (также известной как Nomad Panda), что указывает на тесную координацию или обмен ресурсами внутри китайского кибершпионского сообщества.
