CibersegurançaNotícias

UAT-7237: Grupo hacker ataca Taiwan com malware open source

Descubra como um novo grupo APT usa versões customizadas de ferramentas de código aberto para realizar ciberespionagem.

Por
Jardeson Márcio
PorJardeson Márcio
Jardeson Márcio é Jornalista e Mestre em Tecnologia Agroalimentar pela Universidade Federal da Paraíba. Com 8 anos de experiência escrevendo no SempreUpdate, Jardeson é um especialista...
Follow:

Um novo grupo de hackers de língua chinesa, identificado como UAT-7237, foi recentemente detectado realizando ataques direcionados a infraestruturas críticas em Taiwan. Segundo o relatório da Cisco Talos, este grupo se destaca por sua sofisticação e pelo uso de ferramentas de código aberto adaptadas para permanecer oculto e manter acesso persistente às redes comprometidas. A descoberta reforça a crescente onda de ciberespionagem global, onde táticas inovadoras surgem constantemente para contornar as defesas de segurança.

Conteúdo

A característica central do UAT-7237 é a personalização de software open source, permitindo que o grupo se infiltre sem disparar alertas tradicionais de antivírus e sistemas de detecção. Este artigo irá detalhar quem é o UAT-7237, como ele opera, suas ferramentas e o impacto que suas ações podem ter sobre organizações de infraestrutura crítica.

O aumento de ataques sofisticados como os do UAT-7237 evidencia que a cibersegurança moderna exige não apenas proteção reativa, mas monitoramento contínuo, análise de comportamento de rede e atualização constante de sistemas e políticas de segurança.

O que sabemos sobre o UAT-7237?

O UAT-7237 é classificado como um grupo de ameaça persistente avançada (APT) de língua chinesa, e especialistas acreditam que seja um subgrupo do UAT-5918, já conhecido por ataques direcionados a Taiwan. Diferentemente de criminosos cibernéticos oportunistas, o UAT-7237 busca acesso de longo prazo a redes de alto valor, priorizando a coleta de informações estratégicas em vez de ataques imediatos e destrutivos.

Os alvos principais do grupo incluem entidades de infraestrutura web e servidores corporativos estratégicos. O objetivo é claro: manter uma presença furtiva e contínua, possibilitando espionagem prolongada, coleta de credenciais e movimentação lateral dentro das redes comprometidas.

A estratégia de ataque: Personalizando o código aberto para o mal

O UAT-7237 se diferencia por adaptar ferramentas open source de uso legítimo para contornar defesas tradicionais. Essa abordagem oferece duas vantagens principais: redução do risco de detecção e flexibilidade para criar cargas maliciosas específicas para cada alvo.

O carregador SoundBill

Entre as ferramentas customizadas está o SoundBill, um carregador de shellcode desenvolvido para injetar cargas mais complexas, incluindo o popular Cobalt Strike. O SoundBill permite que o grupo entregue malware modular sem acionar sistemas de detecção tradicionais, garantindo que os agentes maliciosos permaneçam ativos por períodos prolongados.

Acesso persistente com SoftEther VPN

Outra tática relevante é o uso do cliente SoftEther VPN para manter conexões persistentes com a rede da vítima. Essa técnica, semelhante à utilizada pelo grupo Flax Typhoon, dificulta a remoção do intruso e permite que o UAT-7237 se comunique com servidores comprometidos sem expor endereços IP suspeitos.

Escalando privilégios e roubando credenciais

Após o acesso inicial, o grupo utiliza ferramentas conhecidas como JuicyPotato para escalar privilégios e o Mimikatz para extrair credenciais diretamente da memória dos sistemas comprometidos. Essas ações permitem ao grupo ampliar seu controle sobre a rede e criar backdoors adicionais de maneira discreta.

O impacto e as implicações da campanha

A combinação dessas ferramentas e táticas permite ao UAT-7237 realizar uma infiltração completa e discreta em sistemas de alta importância. Entre as ações realizadas, destaca-se a desativação do Controle de Conta de Usuário (UAC), facilitando operações de escalonamento de privilégios e movimentação lateral dentro da rede.

Por que isso é importante?

O uso de software open source modificado representa um desafio crescente para equipes de segurança, pois assinaturas tradicionais de antivírus se tornam ineficazes. Além disso, o acesso persistente e a coleta de credenciais elevam o risco de espionagem e comprometimento de dados estratégicos.

Chamada à ação para administradores

Para mitigar os riscos apresentados pelo UAT-7237, administradores de sistemas devem:

  • Manter servidores atualizados com patches de segurança conhecidos.
  • Monitorar o tráfego de rede em busca de atividades anômalas, como conexões VPN não autorizadas.
  • Implementar políticas de segurança robustas, incluindo gestão rigorosa de privilégios e monitoramento de contas de alto nível.

A vigilância contínua, aliada a ferramentas de detecção de comportamento e análise de tráfego, é essencial para proteger redes corporativas e infraestrutura crítica contra ameaças avançadas como o UAT-7237.

A presença do UAT-7237 reforça que a ciberespionagem moderna é cada vez mais sofisticada e adaptativa, exigindo de profissionais de TI e equipes de segurança uma abordagem proativa e integrada para identificar e neutralizar ataques antes que causem danos significativos.

TAGGED:
Compartilhe este artigo
PorJardeson Márcio
Follow:
Jardeson Márcio é Jornalista e Mestre em Tecnologia Agroalimentar pela Universidade Federal da Paraíba. Com 8 anos de experiência escrevendo no SempreUpdate, Jardeson é um especialista em Android, Apple, Cibersegurança e diversos outros temas do universo tecnológico. Seu foco é trazer análises aprofundadas, notícias e guias práticos sobre segurança digital, mobilidade, sistemas operacionais e as últimas inovações que moldam o cenário da tecnologia.
Sair da versão mobile