Геймеры? Нет, шпионы. Хакеры придумали, как прятать серверы там, где их никогда не найдут

Китайская хакерская группа UAT-8302 почти год скрытно атакует государственные структуры в Южной Америке и Европе, используя набор вредоносных программ, связанных сразу с несколькими известными китайскими кибергруппировками. Специалисты Cisco Talos считают, что злоумышленники сосредоточены на долгосрочном проникновении в сети госучреждений и сохранении доступа к инфраструктуре жертв.

Первые атаки на организации в Южной Америке зафиксировали ещё в конце 2024 года, а в 2025 году группа переключилась на ведомства в Юго-Восточной Европе. После взлома UAT-8302 собирает данные, крадёт учётные записи и распространяется по внутренней сети с помощью открытых инструментов и собственных вредоносных программ.

Одной из главных находок стал бэкдор NetDraft. Программа написана на C# и связана с семейством FinalDraft или SquidDoor, которое ранее использовала китайская группировка Jewelbug, также известная под именами REF7707, CL-STA-0049 и LongNosedGoblin. В Cisco Talos отметили, что NetDraft уже фигурировал в атаках на государственные организации Юго-Восточной Азии, Японии и российских ИТ-компаний.

NetDraft использует интерфейс Microsoft Graph и облачное хранилище OneDrive для связи с управляющими серверами. После заражения вредоносная программа может запускать команды, загружать файлы, выполнять дополнительные модули и управлять содержимым системы. Для закрепления в системе злоумышленники создают скрытые задания в планировщике Windows.

Ещё одним инструментом группы стал CloudSorcerer v3. Лаборатория Касперского ранее связывала программу с атаками на российские государственные структуры. Вредоносное ПО маскируется под легитимные процессы и получает управляющие команды через GitHub, OneDrive, Dropbox и даже профили на игровых сайтах. Программа умеет собирать сведения о системе, выполнять команды и внедряться в другие процессы Windows.

В атаках также использовали вредоносное ПО VSHELL вместе с загрузчиками SNOWLIGHT и новой версией SNOWRUST, написанной на Rust. Специалисты Cisco Talos обнаружили, что SNOWRUST расшифровывает компоненты SNOWLIGHT, которые затем загружают финальную полезную нагрузку. Похожие инструменты ранее применяли китайские группировки UNC5174 и UNC6586.

Во время разведки внутри сети UAT-8302 активно использует PowerShell, Impacket и различные утилиты для сканирования инфраструктуры. Злоумышленники собирают сведения о пользователях Active Directory, сетевых ресурсах, журналах Windows и конфигурации систем безопасности. Для поиска новых целей внутри сети группа проводит массовое сканирование адресов и проверяет доступность SMB-ресурсов.

Для расширения доступа атакующие применяют инструменты удалённого запуска команд через WMI и планировщик задач Windows. Кроме того, специалисты заметили попытки кражи учётных данных из MobaXterm и использование китайских утилит для настройки прокси-серверов и VPN-туннелей внутри заражённой сети.

Cisco Talos отмечает, что набор инструментов UAT-8302 пересекается сразу с несколькими известными китайскими кибергруппировками, включая Earth Estries, Earth Naga и LongNosedGoblin. Аналитики считают, что участники кампании либо тесно сотрудничают между собой, либо имеют доступ к общему набору вредоносных программ и инфраструктуры.