A paisagem da cibersegurança está em constante mutação e as ameaças que outrora pareciam distantes estão agora a bater à porta do velho continente. Um grupo sofisticado de piratas informáticos, com fortes ligações à China, expandiu recentemente as suas operações de ciberespionagem, passando a ter como alvo organizações no Sudeste da Europa, com um foco particular em fornecedores de telecomunicações.
Identificado internamente como UAT-7290, este ator de ameaças era conhecido por concentrar os seus esforços em empresas de telecomunicações no Sul da Ásia. No entanto, uma nova investigação revela que o grupo alargou o seu raio de ação, utilizando um arsenal complexo de malware baseado em Linux para comprometer infraestruturas críticas. As conclusões foram divulgadas num relatório recente da Cisco Talos.
Estratégias de acesso e infraestrutura
Ativo desde pelo menos 2022, o grupo UAT-7290 não se limita apenas à espionagem direta. Atua também como um grupo de acesso inicial, estabelecendo o que os especialistas chamam de "Operational Relay Box" (ORB). Esta infraestrutura serve essencialmente como uma ponte ou ponto de passagem, que é posteriormente utilizada por outros atores de ameaças alinhados com os interesses da China para realizarem os seus próprios ataques.
Segundo os investigadores da Cisco, o modus operandi do grupo envolve uma fase extensa de reconhecimento antes de qualquer violação. Para penetrar nas redes, os hackers utilizam uma mistura de malware personalizado e de código aberto, tirando partido de exploits públicos para falhas conhecidas em dispositivos de rede de ponta. Além disso, o grupo recorre a ataques de força bruta via SSH específicos para cada alvo, comprometendo dispositivos expostos publicamente para ganhar o acesso inicial e escalar privilégios nos sistemas afetados.
Um arsenal focado no “Pinguim”
O que distingue o UAT-7290 é a sua preferência clara por ambientes Linux, embora ocasionalmente utilizem implantes para Windows, como o RedLeaves e o ShadowPad, ferramentas partilhadas habitualmente entre vários grupos com nexos à China.
A investigação destaca várias famílias de malware Linux ligadas a este grupo:
RushDrop (ChronosRAT): O ponto de partida da infeção. Este "dropper" realiza verificações básicas para garantir que não está a correr numa máquina virtual e descodifica três binários incorporados, incluindo um utilitário legítimo "busybox" usado para execução de comandos.
DriveSwitch: Um componente periférico largado pelo RushDrop, cuja função principal é executar o implante seguinte.
SilentRaid (MystRodX): O principal implante persistente, escrito em C++. Possui um design baseado em plugins e utiliza o resolvedor de DNS público da Google para comunicar com o seu servidor de comando e controlo (C2). Permite acesso remoto à shell, reencaminhamento de portas e manipulação de ficheiros.
Bulbature: Um implante já documentado anteriormente, usado para converter os dispositivos comprometidos nos tais pontos de retransmissão (ORBs).
Curiosamente, o certificado TLS utilizado pelo malware Bulbature foi detetado em 141 anfitriões baseados na China e em Hong Kong, cujos endereços IP já tinham sido associados a outras famílias de malware conhecidas. Este nível de sofisticação e partilha de recursos sublinha a complexidade da ameaça que as organizações europeias enfrentam agora.
Aplicações TugaTech
Discord do TugaTech
RSS do TugaTech
Speedtest Tugatech
Host TugaTech