Um grupo de ciberespionagem avançado, identificado como UAT-8837 e com fortes indícios de ligação à China, tem vindo a concentrar as suas operações em sistemas de infraestruturas críticas na América do Norte. De acordo com um novo relatório de segurança, estes piratas informáticos estão a utilizar uma combinação de credenciais comprometidas e vulnerabilidades de dia zero (zero-day) para se infiltrarem nas redes das organizações alvo.
Investigadores da Cisco Talos revelam que este grupo está ativo desde, pelo menos, 2025. O seu principal objetivo parece ser garantir o acesso inicial a redes estratégicas, estabelecendo uma "cabeça de ponte" que pode ser utilizada para operações futuras mais destrutivas ou de espionagem prolongada. Embora o foco principal seja o acesso, existem paralelos com outro grupo, o UAT-7290, ativo desde 2022, que também se dedica a tarefas de espionagem.
O foco no acesso inicial e a falha no Sitecore
A sofisticação do UAT-8837 ficou evidente num incidente recente, onde os atacantes exploraram a vulnerabilidade CVE-2025-53690. Trata-se de uma falha crítica de desserialização ViewState em produtos Sitecore, que permitiu aos hackers executar código remotamente. O uso desta falha sugere que o grupo possui acesso a problemas de segurança não divulgados publicamente, elevando o nível de perigo que representam.
Esta vulnerabilidade específica já tinha sido sinalizada pela Mandiant no início de setembro de 2025, altura em que foi observada a instalação de uma backdoor de reconhecimento chamada "WeepSteel". Para os administradores de sistemas que utilizam esta plataforma, os detalhes técnicos e mitigações foram documentados num artigo de suporte da Sitecore.
A atribuição deste grupo a operações chinesas é feita com um nível de confiança médio pelos analistas, baseando-se na sobreposição de táticas, técnicas e procedimentos (TTPs) habitualmente vistos noutros atores de ameaças ligados a Pequim.
Um arsenal de ferramentas invisíveis e táticas de espionagem
Uma das características mais marcantes do UAT-8837 é a sua preferência por técnicas "living-off-the-land". Isto significa que, em vez de instalarem malware personalizado que poderia ser facilmente detetado por antivírus, os atacantes utilizam ferramentas legítimas e comandos nativos do sistema operativo para realizar as suas atividades maliciosas.
Após violarem o perímetro da rede, o grupo utiliza comandos nativos do Windows para mapear a infraestrutura e desativar proteções de segurança, como o modo "RestrictedAdmin" do RDP, facilitando o roubo de credenciais. O arsenal inclui utilitários de código aberto modificados, como o GoTokenTheft e o Rubeus para roubar tokens de acesso e abusar do protocolo Kerberos, ou o SharpHound para mapear utilizadores e grupos no Active Directory.
Os investigadores alertam ainda que, em pelo menos uma ocasião, os hackers exfiltraram um ficheiro DLL de um produto utilizado pela vítima. Este comportamento é preocupante, pois sugere que o grupo pode estar a preparar o terreno para futuros ataques à cadeia de fornecimento, modificando componentes legítimos para os transformar em "cavalos de Troia" dentro das redes empresariais.
Nenhum comentário
Seja o primeiro!