Новая группировка UAT-8302 атакует госорганы Южной Америки и Европы, используя арсенал китайских APT

Для проникновения и закрепления в сетях жертв UAT-8302 использует внушительный набор собственных вредоносных программ. Многие из этих образцов уже были замечены в атаках других известных группировок, приписываемых Китаю. Это указывает на тесные оперативные связи между кластерами. Среди ключевых инструментов - бэкдор NetDraft. Это вариант вредоноса FinalDraft (также известного как SquidDoor), разработанного группой Jewelbug. NetDraft написан на языке C# (.NET) и использует API Microsoft Graph для связи со своим сервером управления (C2), скрывая трафик в легитимном облачном сервисе OneDrive. Для первоначальной загрузки NetDraft применяется техника подгрузки вредоносной библиотеки (DLL) через легитимный исполняемый файл.

Ещё один мощный бэкдор из арсенала UAT-8302 - CloudSorcerer в версии 3. Ранее эта программа уже применялась в атаках на российские госструктуры в 2024 году, о чём сообщала "Лаборатория Касперского". Новая версия умеет получать адреса серверов управления не только из GitHub, но и из профилей на игровом сервисе GameSpot. В зависимости от имени процесса, в который внедряется CloudSorcerer, он может выполнять сбор информации о системе, запускать произвольные команды или работать как прокси.

Помимо этих двух основных бэкдоров, группа активно использует VSHELL. Этот вредонос доставляется с помощью специального загрузчика SNOWLIGHT. Исследователи Talos обнаружили, что UAT-8302 также применяет новую версию этого загрузчика, написанную на языке Rust. Его назвали SNOWRUST. Он основан на фреймворке LexiCrypt для запутывания шелл-кода. Примечательно, что аналогичный загрузчик SNOWLIGHT ранее использовала другая китайская группа - UAT-6382, которая эксплуатировала уязвимость нулевого дня (CVE-2025-0994) в Cityworks. Это ещё одно доказательство пересечения инструментария.

После успешного проникновения UAT-8302 действует по отработанному сценарию. Группа проводит обширную разведку сетевой инфраструктуры. Для этого она использует как стандартные утилиты Windows (ipconfig, net view, nslookup, whoami), так и специализированные скрипты PowerShell. Например, скрипт "whatpc.ps1" собирает подробные сведения о системе, включая список пользователей, локальные группы, сетевые подключения и данные контроллера домена. Для поиска новых целей злоумышленники запускают сканирование сети с помощью open-source инструментов на Golang, например, "gogo", имеющего интерфейс на упрощённом китайском.

Одна из ключевых целей группировки - сбор учётных данных и дальнейшее распространение в сети. Специалисты Talos задокументировали использование инструмента Impacket для удалённого выполнения команд и кражу хешей паролей. Также UAT-8302 применяет утилиту adconnectdump.py для перехвата данных из Azure AD Connect. Для перемещения между хостами злоумышленники используют как встроенные механизмы WMI, так и планировщик задач (schtasks). Для создания постоянных точек входа они устанавливают прокси-серверы, например, с помощью инструмента Stowaway, который также имеет китайское происхождение.

Исследователи отмечают, что UAT-8302 имеет доступ к инструментам, которые ранее были публично задокументированы у других кластеров. Помимо упомянутых NetDraft и CloudSorcerer, в распоряжении группы есть Draculoader (загрузчик шелл-кода, используемый группами Earth Estries и Earth Naga) и связка SNAPPYBEE (DeedRAT) с ZingDoor. Такое смешение технологий говорит о том, что UAT-8302, вероятно, не изолированная команда, а часть более широкой экосистемы китайских кибершпионских группировок, которые обмениваются наработками. Основная цель этой сложной многоступенчатой кампании - скрытный сбор разведывательной информации и долгосрочное присутствие в правительственных сетях.

IPv4

• 103.27.108.55
• 156.238.224.82
• 185.238.189.41
• 38.54.32.244
• 45.135.135.100
• 45.140.168.62
• 85.209.156.3
• 88.151.195.133

IPv4 Port Combinations

• 85.209.156.3:46389
• 85.209.156.3:56456

Domains

• image.update-kaspersky.workers.dev
• msiidentity.com
• trafficmanagerupdate.com
• update-kaspersky.workers.dev
• www.drivelivelime.com

URLs

• http://103.27.108.55:48265/
• http://185.238.189.41:8080
• http://38.54.32.244/Rar.exe
• http://85.209.156.3:8080/wagent.exe
• http://85.209.156.3:8082/wagent.exe
• http://trafficmanagerupdate.com/index.php
• https://msiidentity.com
• https://msiidentity.com/pw
• https://www.drivelivelime.com
• https://www.drivelivelime.com/pw
• https://www.drivelivelime.com/x

SHA256

• 071e662fc5bc0e54bcfd49493467062570d0307dc46f0fb51a68239d281427c6
• 1139b39d3cc151ddd3d574617cf113608127850197e9695fef0b6d78df82d6ca
• 199bd156c81b2ef4fb259467a20eacaa9d861eeb2002f1570727c2f9ff1d5dab
• 1bb59491f7289b94ab0130d7065d74d2459a802a7550ebf8cd0828f0a09c4d38
• 2b627f6afe1364a7d0d832ccba87ef33a8a39f30a70a5f395e2a3cb0e2161cb3
• 343105919aa6df8a75ecb8b06b74f23a7d3e221fca56c67b728c50ea141314bc
• 35b2a5260b21ddb145486771ec2b1e4dc1f5b7f2275309e139e4abc1da0c614b
• 3dec6703b2cbc6157eb67e80061d27f9190c8301c9dd60eb0be1e8b096482d7e
• 4109f15056414f25140c7027092953264944664480dd53f086acb8e07d9fccab
• 45cd169bf9cd7298d972425ad0d4e98512f29de4560a155101ab7427e4f4123f
• 51f0cf80a56f322892eed3b9f5ecae45f1431323600edbaea5cd1f28b437f6f2
• 7c593ca40725765a0747cc3100b43a29b88ad1708ef77e915ab02686c0153001
• 7d9c70fc36143eb33583c30430dcb40cf9d306067594cc30ffd113063acd6292
• 843f8aea7842126e906cadbad8d81fa456c184fb5372c6946978a4fe115edb1c
• 9f115e9b32111e4dc29343a2671ab10a2b38448657b24107766dc14ce528fceb
• b19bfca2fc3fdabf0d0551c2e66be895e49f92aedac56654b1b0f51ec66e7404
• e74098b17d5d95e0014cf9c7f41f2a4e4be8baefc2b0eb42d39ae05a95b08ea5
• ee56c49f42522637f401d15ac2a2b6f3423bfb2d5d37d071f0172ce9dc688d4b
• f859a67ceebc52f0770a222b85a5002195089ee442eac4bea761c29be994e2ea
• fb6cebadd49d202c8c7b5cdd641bd16aac8258429e8face365a94bd32e253b00