Investigadores exponen a un sofisticado actor de amenazas, presuntamente vinculado a China, que utiliza herramientas nunca antes vistas para infiltrarse en telecomunicaciones y sectores estratégicos.
Mientras la atención global suele centrarse en el ransomware ruidoso, los depredadores más peligrosos son los que se mueven en silencio. Un nuevo reporte ha sacado a la luz las operaciones de UAT-7290, un grupo de hackers que ha estado atacando activamente entidades de infraestructura crítica y telecomunicaciones en el sur de Asia y, más recientemente, expandiéndose hacia el sureste de Europa.
¿Quién es UAT-7290?
Aunque su nombre suena técnico (“Unattributed Activity Group”), sus huellas digitales son claras. Los analistas vinculan a este grupo con intereses estatales chinos, basándose en su selección de objetivos estratégicos y su modus operandi de espionaje y persistencia a largo plazo.
El grupo no solo realiza ataques directos; también actúa como un “Initial Access Provider” (Proveedor de Acceso Inicial), comprometiendo redes profundas para luego permitir que otros grupos estatales exploten esos accesos.
El Arsenal: Malware a Medida para Linux
Lo que hace a UAT-7290 técnicamente formidable es su enfoque en sistemas Linux, el sistema operativo que impulsa la mayoría de los servidores de borde y dispositivos de red críticos. Su toolkit incluye tres piezas de malware personalizadas:
- RushDrop:
- Función: Es el “dropper” o instalador inicial.
- Evasión: Antes de ejecutarse, verifica si está en una máquina real o en un entorno de análisis (sandbox). Si detecta una máquina virtual, se autodestruye para no dejar rastros.
- Instalación: Si el entorno es seguro, crea una carpeta oculta .pkgdb y despliega los siguientes componentes.
- DriveSwitch:
- Función: Actúa como un cargador intermedio que facilita la ejecución del implante principal.
- SilentRaid:
- Función: La joya de la corona. Es un troyano modular que mantiene el acceso persistente.
- Capacidades: Gracias a su sistema de plugins, puede abrir shells remotos, reenviar puertos (port forwarding) para atravesar firewalls y gestionar archivos.
- Camuflaje: Se comunica con sus servidores de control (C2) usando consultas DNS a través de servidores legítimos (como el 8.8.8.8 de Google), mezclando su tráfico malicioso con la actividad normal de la red.
Objetivos y Tácticas
UAT-7290 no dispara a ciegas. Realizan un reconocimiento técnico exhaustivo antes de lanzar ataques de fuerza bruta o explotar vulnerabilidades conocidas en dispositivos expuestos a internet (Edge Devices).
Su objetivo principal parece ser el espionaje estratégico: comprometer las redes de telecomunicaciones les permite interceptar comunicaciones, mientras que el acceso a la infraestructura crítica (energía, transporte) podría servir para pre-posicionarse ante futuros conflictos geopolíticos.
Recomendaciones
- Monitoreo de Integridad de Archivos (FIM): Configurar alertas para la creación de directorios ocultos (como .pkgdb) o binarios inusuales en carpetas temporales (/tmp, /var/tmp).
- Análisis de Tráfico DNS: Vigilar patrones anómalos de consultas DNS, especialmente aquellas que parecen tunelizar datos o comunicarse con dominios de reciente creación.
- Hardening de Linux: Asegurar que los servidores expuestos tengan deshabilitados servicios innecesarios y cuenten con herramientas de detección de comportamiento (EDR para Linux) actualizadas.
