Un gruppo APT collegato alla Cina è stato osservato mentre prendeva di mira settori di infrastrutture critiche in Nord America almeno dall’anno scorso, puntando a organizzazioni ad alto valore. L’attività è stata tracciata come UAT 8837 e viene descritta come orientata soprattutto all’ottenimento di accesso iniziale, tramite sfruttamento di server vulnerabili oppure tramite credenziali compromesse. Una volta entrato nella rete, l’attaccante usa in prevalenza strumenti open source per raccogliere informazioni sensibili e creare più canali di accesso, aumentando la resilienza dell’intrusione.

Un elemento chiave della campagna riguarda lo sfruttamento di una vulnerabilità zero-day critica in Sitecore identificata come CVE-2025-53690 con punteggio CVSS 9.0. Questo tipo di attacco evidenzia come le piattaforme di gestione contenuti e i server esposti su internet possano diventare un punto di ingresso privilegiato per operazioni di cyber espionage e per compromissioni prolungate. Anche se non è certo che si tratti dello stesso attore, sono state notate somiglianze di tattiche, strumenti e infrastrutture con campagne precedentemente documentate, un segnale tipico di ecosistemi di minaccia che condividono risorse o metodi.

Dopo il primo accesso, UAT 8837 esegue ricognizione e riduce le difese. Tra le azioni più rilevanti c’è la disattivazione di RestrictedAdmin per RDP, una misura di sicurezza pensata per limitare l’esposizione delle credenziali durante connessioni remote. In seguito l’attore conduce attività manuali sul sistema compromesso tramite cmd.exe e scarica componenti utili alla fase di post-exploitation e alla persistenza.

Gli strumenti osservati includono utility per il furto di token di accesso, tunnel reverse tramite SOCKS, accesso remoto persistente e ricognizione Active Directory, oltre a tool per raccolta dati AD, esecuzione di comandi con privilegi elevati, movimento laterale e abuso di Kerberos e certificati. In un caso è stata segnalata anche l’esfiltrazione di librerie DLL legate ai prodotti della vittima, con il rischio che possano essere modificate in futuro per attacchi supply chain o per individuare nuove vulnerabilità tramite reverse engineering.

La crescita di campagne contro infrastrutture critiche e ambienti OT sta spingendo più governi occidentali a pubblicare avvisi e linee guida. Le raccomandazioni operative insistono su riduzione dell’esposizione, standardizzazione delle connessioni, uso di protocolli sicuri, hardening del perimetro OT, monitoraggio e logging completi e dismissione di asset obsoleti che aumentano la superficie di attacco.