«Hola, somos sus nuevos administradores»: cómo UAT‑8837 toma el control de redes en América del Norte
Un thriller sobre cómo convertir la propiedad ajena en un terreno de juego personal.
Desde principios de 2025, los especialistas de Cisco Talos registran actividad del grupo UAT-8837, que se vincula con China por la similitud de técnicas e infraestructura con otros operadores conocidos de esa región. Las organizaciones de sectores críticos en Norteamérica fueron los objetivos de los ataques. Según los analistas, el objetivo principal de UAT-8837 es obtener acceso inicial a sistemas de alto valor. Tras la intrusión, el grupo establece varios canales para el control posterior de la infraestructura.
Para el acceso inicial se usan tanto vulnerabilidades en el software como credenciales robadas. El último ataque fue realizado aprovechando la vulnerabilidad de día cero CVE-2025-53690 en productos SiteCore. Tras la intrusión exitosa, los atacantes recopilan información del sistema y de los usuarios, desactivan mecanismos de protección y ejecutan comandos desde la consola. Para almacenar herramientas utilizan directorios temporales y públicos del sistema operativo.
UAT-8837 emplea un amplio conjunto de herramientas, cambiando con frecuencia sus versiones para evadir las defensas. Entre los programas usados están GoTokenTheft, diseñada para robar tokens de acceso; Earthworm, para crear túneles entre sistemas internos y servidores externos; DWAgent, para administración remota; y SharpHound, que recopila datos de Active Directory.
También se registró el uso de herramientas como Impacket, GoExec y Rubeus, que permiten ejecutar comandos en nombre de otros usuarios e interactuar con Kerberos. Algunas utilidades, por ejemplo Earthworm, se asocian frecuentemente con otros grupos que usan el idioma chino.
En los dispositivos comprometidos se encontraron rastros del uso de utilidades para investigar dominios y políticas de seguridad: dsquery, dsget, secedit, setspn y otras. El uso de herramientas integradas del sistema permite al grupo operar de forma discreta. Además, se instalaron programas que brindan acceso a sistemas eludiendo la infraestructura principal.
Cabe destacar el caso en el que el grupo copió bibliotecas dinámicas vinculadas a los productos de la víctima. Esto puede indicar planes de introducir código malicioso en actualizaciones o de usar esos componentes para análisis posteriores de vulnerabilidades. Tales acciones generan riesgos de compromiso en las cadenas de suministro.
Además de usar utilidades y comandos, UAT-8837 crea nuevas cuentas y se agrega a grupos con privilegios elevados, asegurando acceso incluso si se bloquea el canal principal. Los atacantes también prueban distintas versiones de herramientas para elegir las que no son detectadas por los sistemas de defensa.
Para detectar y bloquear las acciones de este grupo, los especialistas de Cisco recomiendan usar la firma de ClamAV con el nombre Win.Malware.Earthworm, así como las reglas de Snort números 61883, 61884, 63727, 63728 y 300585. Aunque el grupo adapta constantemente sus métodos, la aplicación de estas reglas puede aumentar el nivel de protección.