Hackers chineses do grupo UAT-7290 têm intensificado suas atividades, representando uma ameaça significativa para instituições no sul da Ásia e sudeste da Europa. Desde 2022, esses cibercriminosos têm adotado uma abordagem estratégica, focando no reconhecimento técnico de seus alvos antes de lançar ataques sofisticados. De acordo com análises da Cisco Talos, eles utilizam malwares avançados, como RushDrop, DriveSwitch e SilentRaid, para comprometer sistemas críticos.
Estratégias de Ataque dos Hackers Chineses
Além da infiltração inicial, os pesquisadores identificaram a criação de centros de Operação de Caixa de Retransmissão (ORB). Essa infraestrutura não apenas torna os ataques anônimos, mas também pode ser compartilhada com outros grupos de hackers chineses. Dessa forma, o UAT-7290 atua não apenas como espiões, mas também como fornecedores de acesso criminoso inicial para outros atores maliciosos.
A maioria das vítimas está localizada no sul da Ásia, porém, ataques também foram registrados no sudeste da Europa. Após a infiltração, os cibercriminosos empregam malwares baseados em Linux, como o RushDrop (também conhecido como ChronosRAT), que inicia a cadeia de infecção. Em seguida, o DriveSwitch é utilizado para executar o SilentRaid, garantindo acesso persistente ao sistema e conectando-o a um servidor externo.
Técnicas de Espionagem e Controle
Uma vez dentro dos sistemas, os hackers chineses realizam uma série de atividades maliciosas, incluindo:
- Execução de shellcode;
- Gerenciamento de arquivos;
- Keylogging;
- Remote shell;
- Capturas de tela;
- Configuração de proxy.
Além disso, eles utilizam a backdoor Bulbature, que transforma os dispositivos infectados em ORBs, facilitando a disseminação de ataques. Segundo os pesquisadores, o grupo está ligado a outros coletivos chineses, como Stone Panda e RedFoxTrot. No entanto, ao contrário de desenvolver seus próprios malwares, eles aproveitam códigos públicos de exploração de sistemas, utilizando vulnerabilidades zero-day e técnicas de força bruta SSH para comprometer dispositivos.
Impacto e Medidas de Segurança
Os hackers chineses representam uma ameaça crescente, especialmente para o setor de telecomunicações. Suas ações não apenas comprometem a segurança dos dados, mas também abrem portas para outros tipos de ataques. Portanto, é essencial que as organizações adotem medidas proativas, como:
- Atualização constante de sistemas;
- Monitoramento de atividades suspeitas;
- Implementação de firewalls avançados;
- Treinamento de equipes em cibersegurança.
Em conclusão, o grupo UAT-7290 demonstra uma capacidade técnica avançada, utilizando malwares de Linux e técnicas de espionagem para atingir seus objetivos. As instituições devem estar atentas a essas ameaças e investir em estratégias robustas de defesa cibernética.