Il gruppo di cyber spionaggio identificato come UAT 7290 è stato collegato a intrusioni mirate contro aziende in Asia meridionale e in Europa sud orientale, con un focus particolare sui provider di telecomunicazioni. L’attività risulta attiva almeno dal 2022 e si distingue per una fase iniziale di ricognizione tecnica molto estesa, utile a mappare infrastruttura, servizi esposti e possibili punti deboli prima di avviare l’attacco vero e proprio.

Secondo le analisi più recenti, UAT 7290 combina strumenti open source, tooling personalizzato e sfruttamento di vulnerabilità one day su prodotti di rete edge molto diffusi. Questo approccio consente di ottenere accesso iniziale compromettendo dispositivi esposti su Internet e poi muoversi all’interno della rete aziendale con tecniche di escalation dei privilegi. In alcuni casi vengono citati anche tentativi di brute force SSH mirati, adattati al contesto del bersaglio, a conferma di una strategia orientata alla persistenza e alla raccolta di informazioni.

Suite malware Linux e catena di infezione modulare

Un elemento centrale della campagna è l’uso di una suite malware basata su Linux, progettata per costruire una catena di infezione modulare.

• RushDrop: agisce come dropper e avvia l’installazione dei componenti successivi.
• DriveSwitch: viene descritto come un malware periferico utilizzato per eseguire SilentRaid sul sistema compromesso.
• SilentRaid: è un impianto in C++ che mantiene l’accesso persistente e adotta un modello a plugin per comunicare con server esterni, aprire una shell remota, configurare port forwarding ed eseguire operazioni sui file.

In parallelo, vengono menzionati anche impianti Windows associati ad altri gruppi cinesi, segnale di possibili condivisioni di risorse o riutilizzo di strumenti in ecosistemi di attacco correlati.

Infrastrutture ORB (Operational Relay Box) e backdoor Bulbature

Un aspetto strategico è la creazione di infrastrutture ORB, Operational Relay Box, in cui dispositivi edge compromessi vengono trasformati in nodi di inoltro operativi. In questo contesto entra in gioco una backdoor chiamata Bulbature, progettata proprio per convertire un apparato di rete violato in un nodo ORB. Questa infrastruttura può essere poi sfruttata anche da altri attori, aumentando la resilienza operativa e rendendo più complessa l’attribuzione e il tracciamento delle campagne.

Le sovrapposizioni tattiche e infrastrutturali con altri cluster legati alla Cina evidenziano un panorama di minacce in cui telecomunicazioni, edge security e sistemi Linux restano obiettivi ad alto valore, soprattutto per attività di intelligence e accesso iniziale.