Um agente malicioso, possivelmente associado à China, tem sido monitorado visando setores de infraestrutura crítica na América do Norte desde pelo menos o ano passado.
A Cisco Talos, que acompanha a atividade sob o codinome UAT-8837, classificou o agente como uma ameaça persistente avançada (APT), com nível de confiança médio, com base em sobreposições táticas com campanhas anteriores de agentes chineses.
Segundo a empresa de cibersegurança, o objetivo principal do UAT-8837 é obter acesso inicial a organizações de alto valor, utilizando táticas, técnicas e procedimentos (TTPs) observados durante operações anteriores e atividades pós-comprometimento.
“Após conseguir o acesso inicial — seja explorando servidores vulneráveis ou utilizando credenciais comprometidas — o UAT-8837 utiliza principalmente ferramentas de código aberto para coletar informações confidenciais, incluindo credenciais, configurações de segurança e dados do Active Directory, permitindo múltiplos canais de acesso às vítimas”, afirmam os pesquisadores.
Exploração de vulnerabilidades e atividades recentes
O UAT-8837 explorou recentemente uma vulnerabilidade crítica de dia zero no Sitecore (CVE-2025-53690, CVSS 9,0) para ganhar acesso inicial. A intrusão apresenta TTPs, ferramentas e infraestrutura similares a uma campanha documentada pela Mandiant, do Google, em setembro de 2025. Embora não seja confirmado que ambos os clusters sejam do mesmo agente, isso sugere que o UAT-8837 pode ter acesso a exploits de dia zero para ataques cibernéticos.
Após obter acesso, o agente realiza reconhecimento preliminar, desativa o RestrictedAdmin para RDP e abre o cmd.exe para executar atividades no host infectado. Ele também baixa ferramentas adicionais para exploração e movimentação lateral, incluindo:
-
GoTokenTheft – roubo de tokens de acesso
-
EarthWorm – túnel reverso via SOCKS
-
DWAgent – acesso remoto persistente e reconhecimento do Active Directory
-
SharpHound – coleta de dados do Active Directory
-
Impacket – execução de comandos com privilégios elevados
-
GoExec – execução de comandos em endpoints remotos via Golang
-
Rubeus – exploração do Kerberos
-
Certipy – descoberta e abuso do Active Directory
Segundo os pesquisadores Asheer Malhotra, Vitor Ventura e Brandon White, “o UAT-8837 executa comandos para obter informações confidenciais, como credenciais, e em algumas vítimas exfiltrou bibliotecas DLL compartilhadas, aumentando o risco de ataques futuros e comprometimento da cadeia de suprimentos”.
Contexto recente
A divulgação do UAT-8837 ocorre uma semana após a Talos atribuir outro agente ligado à China, o UAT-7290, a intrusões focadas em espionagem contra entidades no Sul da Ásia e Sudeste da Europa, utilizando malwares como RushDrop, DriveSwitch e SilentRaid.
Fonte: The Hacker News
