Iscriviti al webinar gratuito del 12 Maggio per diventare Forensic Analyst! Scopri di più
Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
UAT 8302 colpisce governi: cyber-spionaggio cinese tra Sud America e Sud Est Europa con NetDraft e VShell
Il gruppo APT UAT 8302 legato alla Cina è stato associato a una serie di attacchi informatici mirati contro enti governativi in Sud America a partire almeno dalla fine del 2024 e contro agenzie governative nel sud est Europa nel 2025. La campagna evidenzia un modello tipico delle operazioni di cyber spionaggio avanzato, dove la persistenza e la capacità di muoversi nella rete contano più della singola tecnica di ingresso.
Secondo le analisi di threat intelligence, la fase di post exploitation si basa sulla distribuzione di famiglie di malware personalizzate che risultano condivise o riutilizzate anche da altri gruppi APT allineati alla Cina. Tra gli strumenti più rilevanti spicca NetDraft, una backdoor basata su .NET nota anche come NosyDoor. Questo impianto viene descritto come una variante in C# di FINALDRAFT e rappresenta un indicatore importante di collegamenti operativi tra cluster diversi, dato che componenti simili sono stati osservati in attacchi attribuiti in passato ad altri attori di matrice cinese.
Oltre a NetDraft, UAT 8302 utilizza ulteriori backdoor e loader già noti nel panorama delle minacce. CloudSorcerer è stato osservato in campagne contro organizzazioni russe dal 2024, mentre SNOWLIGHT è un componente stager collegato a più operazioni che hanno preso di mira sistemi e infrastrutture eterogenee. Nel toolkit compaiono anche Deed RAT e Zingdoor, oltre a Draculoader, un loader generico usato per consegnare payload successivi. Questa convergenza di strumenti rafforza l’ipotesi di un ecosistema condiviso di malware e accessi, dove la collaborazione tra gruppi riduce tempi e rischi nelle fasi operative.
Le modalità di initial access non sono state chiarite, ma lo scenario più probabile include lo sfruttamento di vulnerabilità zero day e n day in applicazioni web, una tecnica frequente nelle intrusioni APT contro la pubblica amministrazione. Dopo l’accesso iniziale, gli attaccanti eseguono ricognizione estesa e mappatura della rete, impiegando anche strumenti open source per scansioni automatizzate e facilitare il movimento laterale. La catena di attacco porta infine al rilascio delle backdoor principali e di VShell, ampliando il controllo remoto sugli asset compromessi.
È stato inoltre osservato l’uso di SNOWRUST, una variante in Rust di SNOWLIGHT, impiegata per scaricare ed eseguire il payload VShell da server remoti. Per mantenere canali alternativi di accesso, il gruppo configura anche strumenti proxy e VPN come Stowaway e SoftEther VPN, aumentando resilienza e persistenza in caso di rimozione di un singolo impianto.