El actor de amenaza UAT-7290, vinculado a China, habría intensificado ataques contra proveedores de telecomunicaciones en la región sur de Asia y Europa, aprovechando vulnerabilidades en equipos de red periféricos y un conjunto de malware altamente modular.
El grupo cibercriminal UAT-7290, vinculado a intereses chinos, fue identificado por investigadores de Cisco Talos como responsable de una campaña de intrusiones prolongada contra infraestructuras de telecomunicaciones en el sur de Asia y Europa sudoriental. De acuerdo a reportes, este actor de amenaza emplea una combinación de malware modular personalizado y exploits contra dispositivos de borde de red, lo que le permite infiltrarse en sistemas críticos y mantener presencia prolongada dentro de las redes objetivo.
Los ataques, según el reporte de los investigadores, se remontan al menos a 2022, no se limitan a una sola táctica. En su forma de operar, UAT-7290 primero explota dispositivos de borde expuestos públicamente mediante vulnerabilidades de un solo día y técnicas como fuerza bruta SSH para ganar acceso inicial. Luego despliega una serie de componentes maliciosos diseñados para establecer persistencia, exfiltrar información y facilitar operaciones continuadas dentro de las redes comprometidas.
Entre las herramientas identificadas en las intrusiones se encuentran varios módulos de malware con funciones distintas, entre ellos, RushDrop (un “dropper” que inicia la cadena de infección), DriveSwitch (responsable de ejecutar el componente principal en los sistemas comprometidos) y SilentRaid (el implante principal, que permite comunicación con servidores de control y comando y ejecución de instrucciones maliciosas). Los análisis técnicos revelaron que estos componentes se utilizan de manera flexible según las necesidades del atacante, característica de un malware modular que facilita la adaptación a distintos entornos de red y objetivos. Tal enfoque hace que las campañas de UAT-7290 sean difíciles de detectar con herramientas de seguridad tradicionales.
Además, los expertos en inteligencia de amenazas han observado que la infraestructura y las tácticas empleadas por UAT-7290 se superponen, en parte, con otros grupos asociados a actores estatales chinos. Por ejemplo, comparte vectores de ataque y artefactos técnicos con amenazas históricamente vinculadas a unidades como el APT10 y otros grupos relacionados con la Unidad 69010 del Ejército Popular de Liberación.
Lo anterior sugiere que UAT-7290 podría servir como proveedor de acceso inicial para otras operaciones coordinadas, lo que implicaría un alcance mayor en las redes objetivo, más allá de la intrusión inicial.
Hasta ahora la afectación principal identificada han sido a proveedores de servicios de telecomunicaciones. Al comprometer estos sistemas, los atacantes pueden potencialmente acceder a datos sensibles de la red, registrar tráfico, o incluso manipular funciones internas sin detección inmediata.
Varios medios especializados en ciberseguridad han documento en el último tiempo que otras operaciones de amenazas vinculadas a China han estado explotando dispositivos orientados al borde de red para alcanzar proveedores de telecomunicaciones fuera del ámbito geográfico clásico, un patrón que coincide con la metodología de UAT-7290 y que eleva las alertas entre los proveedores de telecomuniciones.