Um novo grupo de hackers de língua chinesa, identificado como UAT-7237, foi recentemente detectado realizando ataques direcionados a infraestruturas críticas em Taiwan. Segundo o relatório da Cisco Talos, este grupo se destaca por sua sofisticação e pelo uso de ferramentas de código aberto adaptadas para permanecer oculto e manter acesso persistente às redes comprometidas. A descoberta reforça a crescente onda de ciberespionagem global, onde táticas inovadoras surgem constantemente para contornar as defesas de segurança.
A característica central do UAT-7237 é a personalização de software open source, permitindo que o grupo se infiltre sem disparar alertas tradicionais de antivírus e sistemas de detecção. Este artigo irá detalhar quem é o UAT-7237, como ele opera, suas ferramentas e o impacto que suas ações podem ter sobre organizações de infraestrutura crítica.
O aumento de ataques sofisticados como os do UAT-7237 evidencia que a cibersegurança moderna exige não apenas proteção reativa, mas monitoramento contínuo, análise de comportamento de rede e atualização constante de sistemas e políticas de segurança.
O que sabemos sobre o UAT-7237?
O UAT-7237 é classificado como um grupo de ameaça persistente avançada (APT) de língua chinesa, e especialistas acreditam que seja um subgrupo do UAT-5918, já conhecido por ataques direcionados a Taiwan. Diferentemente de criminosos cibernéticos oportunistas, o UAT-7237 busca acesso de longo prazo a redes de alto valor, priorizando a coleta de informações estratégicas em vez de ataques imediatos e destrutivos.
Os alvos principais do grupo incluem entidades de infraestrutura web e servidores corporativos estratégicos. O objetivo é claro: manter uma presença furtiva e contínua, possibilitando espionagem prolongada, coleta de credenciais e movimentação lateral dentro das redes comprometidas.
A estratégia de ataque: Personalizando o código aberto para o mal
O UAT-7237 se diferencia por adaptar ferramentas open source de uso legítimo para contornar defesas tradicionais. Essa abordagem oferece duas vantagens principais: redução do risco de detecção e flexibilidade para criar cargas maliciosas específicas para cada alvo.
O carregador SoundBill
Entre as ferramentas customizadas está o SoundBill, um carregador de shellcode desenvolvido para injetar cargas mais complexas, incluindo o popular Cobalt Strike. O SoundBill permite que o grupo entregue malware modular sem acionar sistemas de detecção tradicionais, garantindo que os agentes maliciosos permaneçam ativos por períodos prolongados.
Acesso persistente com SoftEther VPN
Outra tática relevante é o uso do cliente SoftEther VPN para manter conexões persistentes com a rede da vítima. Essa técnica, semelhante à utilizada pelo grupo Flax Typhoon, dificulta a remoção do intruso e permite que o UAT-7237 se comunique com servidores comprometidos sem expor endereços IP suspeitos.
Escalando privilégios e roubando credenciais
Após o acesso inicial, o grupo utiliza ferramentas conhecidas como JuicyPotato para escalar privilégios e o Mimikatz para extrair credenciais diretamente da memória dos sistemas comprometidos. Essas ações permitem ao grupo ampliar seu controle sobre a rede e criar backdoors adicionais de maneira discreta.
O impacto e as implicações da campanha
A combinação dessas ferramentas e táticas permite ao UAT-7237 realizar uma infiltração completa e discreta em sistemas de alta importância. Entre as ações realizadas, destaca-se a desativação do Controle de Conta de Usuário (UAC), facilitando operações de escalonamento de privilégios e movimentação lateral dentro da rede.
Por que isso é importante?
O uso de software open source modificado representa um desafio crescente para equipes de segurança, pois assinaturas tradicionais de antivírus se tornam ineficazes. Além disso, o acesso persistente e a coleta de credenciais elevam o risco de espionagem e comprometimento de dados estratégicos.
Chamada à ação para administradores
Para mitigar os riscos apresentados pelo UAT-7237, administradores de sistemas devem:
- Manter servidores atualizados com patches de segurança conhecidos.
- Monitorar o tráfego de rede em busca de atividades anômalas, como conexões VPN não autorizadas.
- Implementar políticas de segurança robustas, incluindo gestão rigorosa de privilégios e monitoramento de contas de alto nível.
A vigilância contínua, aliada a ferramentas de detecção de comportamento e análise de tráfego, é essencial para proteger redes corporativas e infraestrutura crítica contra ameaças avançadas como o UAT-7237.
A presença do UAT-7237 reforça que a ciberespionagem moderna é cada vez mais sofisticada e adaptativa, exigindo de profissionais de TI e equipes de segurança uma abordagem proativa e integrada para identificar e neutralizar ataques antes que causem danos significativos.
