Kínai APT kormányzati célpontjai
A Cisco Talos elemzése szerint a UAT-8302 egy kínai kötődésű, kormányzati célpontokra fókuszáló APT-operátor, amely legalább 2024 vége óta folytat műveleteket Dél-Amerikában, majd tevékenységét kiterjesztette európai célpontokra.
A kampány kezdeti hozzáférési vektorai nem minden esetben rekonstruálhatók, azonban a rendelkezésre álló indikátorok alapján a csoport n-day és potenciálisan zero-day sérülékenységek kihasználására is képes, amelyet gyors post-exploitation követ. A kompromittációt követően a támadók azonnal strukturált felderítési fázisba lépnek, amely során rendszer- és tartományi szintű információkat gyűjtenek, beleértve Active Directory objektumokat, jogosultsági viszonyokat és hálózati topológiát. Ezt gyakran automatizált PowerShell szkriptekkel és célzott enumerációs eszközökkel hajtják végre.
A laterális mozgás előkészítése során a csoport SMB-alapú feltérképezést, credential harvestinget és szolgáltatásenumerációt végez, majd megszerzett hitelesítési adatokkal terjeszti ki hozzáférését a hálózaton belül. A műveletek során széles körben alkalmazzák a living-off-the-land technikákat, valamint nyílt forráskódú eszközöket, amelyek csökkentik az észlelhetőséget.
A UAT-8302 egyik meghatározó jellemzője a heterogén malware-ökoszisztéma használata, amely több, más kínai APT-khez köthető eszközt is magában foglal. Ide tartozik a NetDraft, a CloudSorcerer v3, valamint a SNAPPYBEE (DeedRAT) és ZingDoor komponensek. Ezek mellett saját fejlesztésű vagy adaptált loadereket is alkalmaznak, például a Draculoader shellcode loader, a VSHELL-hez kapcsolódó SNOWLIGHT, illetve egy Rust-alapú SNOWRUST. Az eszközök közötti átfedés operatív együttműködésre vagy közös fejlesztési háttérre utal más kínai APT-kel.
A perzisztencia és a C2 kommunikáció fenntartása több rétegben történik. A csoport tunneling megoldásokat telepít a kompromittált környezetben, amely lehetővé teszi a rejtett, proxy-alapú kommunikációt és a belső hálózatból történő forgalomkivezetést. Ez a megközelítés biztosítja a hosszú távú, alacsony zajszintű jelenlétet.
A műveleti profil alapján a UAT-8302 egy klasszikus állami kiberkémkedési szereplő: célzott kormányzati hozzáférés, mély hálózati felderítés, credential-központú terjeszkedés és moduláris eszközkészlet jellemzi. A különböző APT-csoportokkal megfigyelt tooling-átfedések arra utalnak, hogy a csoport egy szélesebb, koordinált kínai kiberoperációs ökoszisztéma részeként működik, nem izolált entitásként.
