UAT-8302, il gruppo APT legato alla Cina che usa un arsenale condiviso di malware contro governi e agenzie pubbliche
Cisco Talos ha identificato UAT-8302, un gruppo APT sofisticato collegato all’ecosistema di minacce cinesi e attivo contro enti governativi in Sud America almeno dalla fine del 2024 e contro agenzie pubbliche dell’Europa sudorientale nel 2025. L’elemento più rilevante dell’analisi non è solo la scelta dei bersagli, ma la composizione dell’arsenale usato dopo la compromissione: una combinazione di malware personalizzati, tool open source e famiglie già osservate in operazioni attribuite ad altri cluster China-nexus o di lingua cinese.
Secondo Talos, UAT-8302 opera con l’obiettivo principale di ottenere e mantenere accesso a lungo termine all’interno di reti governative e organizzazioni collegate. Dopo l’accesso iniziale, il gruppo conduce attività di ricognizione, raccolta di informazioni, estrazione di credenziali, movimento laterale e installazione di backdoor, usando una miscela di strumenti offensivi disponibili pubblicamente e malware sviluppati ad hoc.
Il quadro che emerge è quello di un attore strutturato, capace di riutilizzare o condividere strumenti con altri gruppi APT già noti. Questo intreccio tecnico non consente automaticamente di fondere tutti i cluster in un’unica entità, ma indica quantomeno una relazione operativa stretta, una catena comune di tooling o una sovrapposizione significativa nelle capacità a disposizione.
UAT-8302 e il legame con altri gruppi APT China-nexus
L’analisi di Talos collega UAT-8302 a diverse famiglie malware già emerse in campagne precedenti. Tra queste c’è NetDraft, una backdoor basata su .NET che Talos considera una variante C# della famiglia FinalDraft, nota anche come SquidDoor. Questa famiglia è stata associata a Jewelbug, REF7707, CL-STA-0049 e LongNosedGoblin, cluster riconducibili all’area China-nexus.
NetDraft è stata osservata in Sud America nelle operazioni di UAT-8302, ma era già stata segnalata con il nome NosyDoor in campagne contro organizzazioni governative nel Sud-est asiatico e in Giappone. Altre analisi l’hanno collegata anche ad attacchi contro organizzazioni IT russe nel 2024.
UAT-8302 utilizza inoltre CloudSorcerer versione 3, evoluzione di una backdoor osservata in precedenza in attacchi contro enti governativi russi. Accanto a queste famiglie compaiono VSHELL, lo stager SNOWLIGHT e una nuova variante basata su Rust, tracciata da Talos come SNOWRUST. L’elenco include anche SNAPPYBEE, conosciuto anche come DeedRAT, ZingDoor e Draculoader, tutti strumenti già associati in passato a cluster APT di matrice cinese o di lingua cinese.
Questa varietà di malware rende UAT-8302 un caso particolarmente interessante per la threat intelligence. Non si tratta di un gruppo che usa un singolo impianto tecnico riconoscibile, ma di un attore che sembra attingere a una “cassetta degli attrezzi” molto ampia, con connessioni a operazioni già documentate in altre aree geografiche.
Dalla compromissione iniziale alla ricognizione interna
Talos ritiene che UAT-8302 segua un modello già osservato in altri gruppi APT capaci di sfruttare vulnerabilità zero-day e n-day per ottenere accesso iniziale. Una volta dentro la rete, il gruppo avvia una fase di ricognizione approfondita, necessaria per comprendere l’ambiente, identificare endpoint raggiungibili, mappare domini, utenti, gruppi, condivisioni SMB e configurazioni di sicurezza.
Per questa fase vengono utilizzati strumenti come Impacket e comandi standard di Windows, tra cui whoami, ipconfig, net view, systeminfo, nslookup, net group e net use. In diversi casi l’attività viene automatizzata con script PowerShell personalizzati, come whatpc.ps1, usati per raccogliere informazioni su utenti, privilegi, gruppi locali, configurazioni di rete, route, connessioni attive, condivisioni e trust di dominio.
La ricognizione non si limita al singolo sistema compromesso. UAT-8302 esegue ping sweep, scansioni di porte e verifiche sulle condivisioni SMB per individuare altri endpoint su cui muoversi lateralmente. Il gruppo usa anche strumenti di scansione come gogo, QScan, naabu, dddd, PortQry e httpx. Alcuni di questi strumenti provengono da ecosistemi open source in lingua cinese, un ulteriore elemento che Talos inserisce nel quadro di attribuzione tecnica.
Raccolta di credenziali e informazioni Active Directory
Una parte centrale delle operazioni di UAT-8302 riguarda la raccolta di informazioni da Active Directory. Il gruppo utilizza strumenti open source come adconnectdump.py per estrarre credenziali da Azure AD Connect, oggi Entra ID Connect, e interroga direttamente oggetti utente e computer tramite PowerShell.
Le interrogazioni puntano a ottenere nomi, display name, date di ultimo accesso, scadenze password, descrizioni, indirizzi email, home directory, script di logon, appartenenze ai gruppi e informazioni sui computer di dominio. UAT-8302 raccoglie anche log di sistema e log di sicurezza, con particolare attenzione agli eventi che possono rivelare configurazioni, policy di auditing, autenticazioni e attività amministrative.
La raccolta dei log non è un’attività accessoria. Per un attore che vuole mantenere persistenza e muoversi a lungo in una rete, i log sono una fonte utile per capire cosa viene monitorato, quali controlli sono attivi e dove è più probabile passare inosservati. Il gruppo utilizza anche AD Explorer per creare snapshot dell’ambiente Active Directory e strumenti come SharpGetUserLoginIPRP per estrarre informazioni sui login da controller di dominio.
Movimento laterale e proliferazione nella rete
Dopo la ricognizione, UAT-8302 cerca di proliferare attraverso gli endpoint raggiungibili. Le tecniche osservate includono creazione remota di processi tramite WMI, attività pianificate e strumenti basati su Impacket. In alcuni casi vengono usati file BAT per eseguire malware sui sistemi target.
Il gruppo può inoltre estrarre credenziali da MobaXterm, client SSH multifunzione molto diffuso in ambienti tecnici, sfruttando strumenti come MobaXtermDecryptor. È un dettaglio significativo perché mostra l’attenzione verso postazioni amministrative e sistemi usati per accedere ad altri server o apparati interni.
Questa fase conferma il profilo dell’operazione: UAT-8302 non punta soltanto all’esecuzione di un payload su un sistema compromesso, ma alla costruzione di un accesso esteso e resiliente, capace di attraversare la rete e consolidarsi su più punti.
NetDraft e CloudSorcerer, due backdoor al centro dell’arsenale
Tra i malware più rilevanti usati da UAT-8302 c’è NetDraft, noto anche come NosyDoor. È una variante .NET della famiglia FinalDraft o SquidDoor e utilizza API di Microsoft Graph per comunicare con un’infrastruttura di comando e controllo basata su OneDrive. Questo approccio sfrutta servizi legittimi per rendere più difficile distinguere il traffico malevolo da quello ordinario.
La catena di infezione di NetDraft prevede un eseguibile legittimo usato per effettuare sideloading di una DLL malevola. La DLL decodifica NetDraft da un file dati e lo avvia nel contesto del processo esistente. NetDraft include anche una libreria helper .NET incorporata, tracciata come FringePorch, che viene decompressa ed eseguita durante il runtime.
Le funzionalità sono quelle tipiche di una backdoor avanzata: esecuzione di comandi arbitrari, caricamento ed esecuzione di assembly .NET, upload e download di file, gestione del file system, modifica dei tempi di scrittura, esecuzione di plugin e controllo dei tempi di sleep. Poiché NetDraft non dispone autonomamente di persistenza dopo riavvio o nuovo login, una delle prime azioni del comando e controllo è la creazione di un’attività pianificata malevola.
CloudSorcerer versione 3 segue una logica diversa, ma altrettanto insidiosa. Anche in questo caso compare una triade basata su sideloading: eseguibile legittimo, DLL malevola e impianto cifrato in un file dati. Una volta decifrato, il malware può iniettarsi in processi benigni e assumere comportamenti differenti in base al nome del processo in cui opera. Può raccogliere informazioni di sistema, comunicare con il comando e controllo, enumerare file, eseguire comandi, gestire operazioni sui file ed eseguire shellcode.
Come nelle versioni precedenti, CloudSorcerer può usare servizi legittimi per ottenere informazioni sull’infrastruttura di comando e controllo, compresi repository GitHub o profili creati su piattaforme pubbliche. Anche qui il punto è confondere le comunicazioni malevole dentro traffico apparentemente legittimo.
VSHELL, SNOWLIGHT e la nuova variante SNOWRUST
UAT-8302 utilizza anche VSHELL, distribuito attraverso una catena di sideloading in cui un eseguibile legittimo carica una DLL malevola, la quale legge un file BIN e inietta il payload in explorer.exe. Il payload è uno stager che scarica e decodifica VSHELL tramite XOR a singolo byte.
Talos osserva una sovrapposizione con UAT-6382, gruppo che aveva usato lo stesso stager per distribuire VSHELL dopo lo sfruttamento di una vulnerabilità zero-day in Cityworks. Lo stager è identificato come SNOWLIGHT, già osservato anche in intrusioni attribuite ad altri cluster China-nexus, tra cui UNC5174.
La novità più interessante è SNOWRUST, una variante basata su Rust. Secondo Talos, SNOWRUST deriva da LexiCrypt, un obfuscator per shellcode scritto in Rust, e serve a decodificare shellcode SNOWLIGHT incorporato per poi scaricare il payload finale VSHELL. La scelta di Rust non è casuale: il linguaggio è sempre più usato anche in ambito malware per ottenere portabilità, prestazioni e caratteristiche utili a complicare analisi e rilevamento.
In almeno un’intrusione, UAT-8302 ha usato VSHELL per distribuire un driver nativo proveniente da Hades HIDS/HIPS, framework open source Windows in lingua cinese per il monitoraggio host. Il driver può registrare callback per eventi legati a processi, thread, registro e file, consentendo potenzialmente di monitorare, bloccare o nascondere attività e artefatti sul sistema.
Backdoor aggiuntive, proxy e VPN per mantenere l’accesso
Una volta installati i malware principali, UAT-8302 stabilisce ulteriori canali di accesso. Tra le tecniche osservate c’è la configurazione di proxy server su sistemi infetti, con strumenti come Stowaway e anyproxy, usati per instradare traffico dall’esterno verso host compromessi all’interno dell’azienda.
Il gruppo ha inoltre distribuito client SoftEther VPN, un ulteriore segnale della volontà di costruire canali persistenti e flessibili per il rientro nell’ambiente compromesso. In una campagna APT, questi strumenti non servono solo a mantenere accesso tecnico, ma anche a garantire ridondanza: se una backdoor viene individuata, altre vie possono restare operative.
UAT-8302 ha utilizzato anche la combinazione SNAPPYBEE o DeedRAT e ZingDoor. In un caso, il gruppo ha prima distribuito DeedRAT, per poi passare quasi subito a ZingDoor, famiglia DLL già osservata in operazioni attribuite a Earth Estries. Anche Draculoader rientra nel set di strumenti usati, confermando l’ampiezza dell’arsenale.
Perché UAT-8302 è un segnale da non sottovalutare
Il caso UAT-8302 è rilevante per almeno tre motivi. Il primo è la scelta dei bersagli: enti governativi e organizzazioni collegate, in regioni diverse, con un interesse coerente per accesso persistente e raccolta informativa. Il secondo è il riuso di strumenti già collegati ad altri cluster APT China-nexus, che suggerisce una forte prossimità operativa o un ecosistema di capacità condivise. Il terzo è la maturità delle attività post-compromissione, dalla ricognizione alla raccolta di credenziali, dal movimento laterale alla persistenza tramite malware, proxy e VPN.
Per i team di sicurezza, il messaggio è netto: la difesa contro campagne di questo tipo non può basarsi solo sul rilevamento di un singolo malware. Serve visibilità sull’intera catena operativa, compresi comandi di sistema anomali, uso improprio di strumenti amministrativi, creazione sospetta di attività pianificate, scansioni interne, interrogazioni massive di Active Directory, traffico verso servizi cloud usati come C2 e installazione di tool di tunneling o VPN non autorizzati.
UAT-8302 mostra come gli attori APT più avanzati non agiscano più secondo schemi isolati, ma attraverso un ecosistema di strumenti, varianti e tecniche che si sovrappongono tra campagne e gruppi diversi. È proprio questa interconnessione a rendere più complessa l’attribuzione, ma anche più urgente una difesa basata su comportamento, telemetria e correlazione degli eventi lungo tutta la kill chain.
