Un nuovo gruppo cyber legato alla Cina colpisce gli USA: cosa sappiamo su UAT-8837

Dall’inizio del 2025, gli specialisti di Cisco Talos hanno rilevato attività del gruppo UAT-8837, che attribuiscono alla Cina sulla base di tecniche e infrastrutture simili ad altri operatori noti nella regione.

Gli attacchi hanno preso di mira organizzazioni in settori critici del Nord America. Secondo gli analisti, l’obiettivo principale di UAT-8837 è ottenere l’accesso iniziale a sistemi di alto valore. Una volta infiltrato, il gruppo stabilisce molteplici canali per un ulteriore controllo dell’infrastruttura.

L’accesso iniziale viene ottenuto sfruttando sia le vulnerabilità software che le credenziali rubate. L’ultimo attacco ha sfruttato la vulnerabilità zero-day CVE-2025-53690 nei prodotti SiteCore. Dopo la penetrazione, gli aggressori iniziano a raccogliere informazioni sul sistema e sugli utenti, disabilitano i meccanismi di sicurezza ed eseguono comandi tramite la console. Utilizzano directory temporanee e pubbliche del sistema operativo per archiviare i loro strumenti.

UAT-8837 utilizza un’ampia gamma di strumenti, cambiando frequentemente versione per aggirare la sicurezza. Tra i programmi utilizzati ci sono GoTokenTheft, progettato per rubare token di accesso; Earthworm, che crea tunnel tra sistemi interni e server esterni; DWAgent, che esegue l’amministrazione remota; e SharpHound, che raccoglie dati di Active Directory.

È stato documentato anche l’utilizzo di Impacket, GoExec e Rubeus, strumenti che consentono di eseguire comandi per conto di altri utenti e di interagire con Kerberos. Alcuni strumenti, come Earthworm, sono spesso associati ad altri gruppi di lingua cinese.

Sui dispositivi compromessi sono state trovate tracce di utility di analisi di dominio e policy di sicurezza, come dsquery, dsget, secedit, setspn e altre. L’utilizzo di strumenti di sistema integrati ha permesso al gruppo di operare inosservato. Inoltre, sono stati installati programmi che fornivano accesso ai sistemi bypassando l’infrastruttura principale.

Un caso in cui il gruppo ha copiato librerie dinamiche associate ai prodotti della vittima merita particolare attenzione. Ciò potrebbe indicare piani per iniettare codice dannoso negli aggiornamenti o utilizzare questi componenti per successive analisi delle vulnerabilità. Tali azioni comportano il rischio di compromettere la supply chain.

Oltre a utilizzare utilità e comandi, UAT-8837 crea nuovi account e si aggiunge a gruppi con privilegi estesi, garantendo l’accesso anche se il canale primario è bloccato. Gli aggressori testano anche diverse versioni degli strumenti per selezionare quelle non rilevabili dai sistemi di sicurezza.

Per rilevare e bloccare l’attività di questo gruppo, Cisco consiglia di utilizzare la firma ClamAV denominata Win.Malware.Earthworm, nonché le regole Snort 61883, 61884, 63727, 63728 e 300585. Sebbene il gruppo adatti costantemente i propri metodi, l’utilizzo di queste regole può migliorare la protezione.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Agostino Pellegrino

E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.

Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks