English
Los proveedores de hosting en Taiwán han sido blanco de un grupo de ciberespionaje chino (APT) que busca establecer acceso a largo plazo a entidades estratégicas de alto valor, según un informe de Cisco Talos.
Este actor de amenazas, identificado como UAT-7237 y activo desde 2022, parece ser una subdivisión de un grupo más amplio que Talos rastrea como UAT-5918, el cual se solapa con APTs chinos conocidos como Volt Typhoon y Flax Typhoon.
Sin embargo, Talos señala que las tácticas de UAT-7237 —como el uso de Cobalt Strike, la instalación selectiva de web shells, el acceso vía RDP, y la utilización de un cliente VPN legítimo— indican que se trata de un subgrupo diferenciado dentro de la misma operación.
Cómo ocurrió el ataque
En una intrusión reciente contra un proveedor de hosting en Taiwán, los atacantes explotaron vulnerabilidades conocidas en servidores expuestos a Internet para obtener acceso inicial. Posteriormente, realizaron reconocimiento, movimiento lateral dentro de la red y desplegaron el software SoftEther VPN para asegurar acceso remoto persistente.
Para estas actividades, utilizaron tanto herramientas comunes como utilidades basadas en WMI (Windows Management Instrumentation), incluyendo SharpWMI y WMICmd.
Además de herramientas de código abierto, el grupo implementó un loader personalizado denominado SoundBill, escrito en chino, que incluía ejecutables derivados del software de mensajería instantánea QQ. Según Talos, este loader puede desplegar desde versiones personalizadas de Mimikatz hasta cargas útiles de Cobalt Strike, facilitando robo de credenciales y ejecución de comandos arbitrarios.
Los atacantes también emplearon el exploit JuicyPotato para escalar privilegios, modificaron configuraciones del sistema operativo para almacenar contraseñas en texto plano y recurrieron a múltiples utilidades para la exfiltración de credenciales.
Persistencia y alcance
El grupo utilizó herramientas de escaneo como Fscan y exploraciones SMB para identificar otros endpoints en la red, además de desplegar nuevamente SoftEther VPN para mantener acceso prolongado a los sistemas comprometidos.
Cisco Talos destacó que el servidor remoto usado para alojar SoftEther VPN fue creado en septiembre de 2022, lo que indica que el grupo ha estado utilizando esta infraestructura de acceso remoto durante más de dos años.
