Negli ultimi anni, la sicurezza informatica delle infrastrutture web di Taiwan è stata messa a dura prova da sofisticati attacchi condotti da gruppi APT (Advanced Persistent Threat) di matrice cinese. Recentemente, il gruppo UAT-7237 è stato identificato come responsabile di una serie di intrusioni mirate contro server web di alto valore a Taiwan. L’obiettivo principale di questi attacchi è ottenere un accesso persistente e non rilevato alle reti delle vittime, sfruttando strumenti open source appositamente modificati per eludere i sistemi di difesa.

UAT-7237, considerato una sotto-unità del già noto UAT-5918, si distingue per l’utilizzo di toolkit personalizzati, tra cui spicca il loader SoundBill, progettato per decodificare e lanciare payload secondari come Cobalt Strike. Questo framework di attacco viene usato come backdoor principale per controllare da remoto i sistemi compromessi. A differenza di altre tecniche, UAT-7237 utilizza selettivamente web shell solo dopo la compromissione iniziale e predilige l’uso di SoftEther VPN e accessi tramite RDP per mantenere la persistenza nella rete, una tattica che ne aumenta la furtività.

Catene di attacco e strumenti utilizzati

Le catene di attacco iniziano con l’individuazione e lo sfruttamento di vulnerabilità note su server esposti a Internet, soprattutto se non aggiornati. Successivamente, viene effettuata una ricognizione per stabilire la rilevanza del bersaglio e, una volta compromesso il sistema, SoundBill viene usato per eseguire Cobalt Strike e consolidare il controllo. Su molti host compromessi vengono poi implementati strumenti come JuicyPotato per l’escalation dei privilegi e Mimikatz per l’estrazione delle credenziali. In alcuni casi, una versione aggiornata di SoundBill integra direttamente Mimikatz, facilitando l’operazione di raccolta dati sensibili.

Tattiche di persistenza e offuscamento

Un’altra caratteristica rilevante delle attività di UAT-7237 è la modifica delle impostazioni di sicurezza di Windows, come la disabilitazione del controllo account utente (UAC) e l’attivazione della memorizzazione delle password in chiaro tramite modifiche al registro di sistema. Questi accorgimenti rafforzano la capacità degli attaccanti di mantenere il controllo a lungo termine senza essere scoperti.

Indicatori di compromissione e collegamenti ad altri gruppi

Parallelamente, sono stati rilevati anche tentativi di scansione di porte tramite FScan e la configurazione della lingua cinese semplificata nei client VPN, confermando la provenienza geografica degli operatori. Contestualmente, sono emerse varianti di backdoor come FireWood, collegate ad altri gruppi APT cinesi, che sfruttano rootkit kernel per occultare le attività malevole.

Questa serie di attacchi sottolinea la crescente sofisticazione dei gruppi APT che, sfruttando strumenti open source personalizzati e vulnerabilità note, riescono a compromettere infrastrutture critiche e a ottenere un accesso persistente e silenzioso nei sistemi bersaglio.