Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Cisco Talos vinculou um grupo APT com conexão à China, rastreado como UAT-8302, a ataques contra organizações governamentais na América do Sul desde o final de 2024 e no sudeste da Europa ao longo de 2025. O grupo implanta um amplo conjunto de ferramentas de malware que inclui NetDraft, CloudSorcerer v3, VSHELL, SNOWLIGHT, SNOWRUST e componentes personalizados adicionais. Suas operações também dependem de ferramentas de código aberto, como Impacket, utilitários de proxy e scripts personalizados para apoiar o reconhecimento, roubo de credenciais e movimentação lateral nos ambientes das vítimas.
Investigação
Talos documentou a cadeia de entrega de malware do grupo, seu uso de tarefas agendadas para persistência e seu abuso de serviços confiáveis, como Microsoft Graph, para comando e controle. Pesquisadores também observaram carregadores de sideloading de DLL, comandos de reconhecimento, utilitários de varredura de rede e infraestrutura dedicada à entrega de payloads e acesso remoto. O relatório notou ainda sobreposições em ferramentas e técnicas com outros clusters ligados à China, incluindo Jewelbug, Earth Estries e vários grupos rastreados como UNC.
Mitigação
As organizações devem corrigir as vulnerabilidades mencionadas, incluindo CVE-2025-0994, CVE-2025-20333, e CVE-2025-20362, e aplicar controles rígidos aos APIs do Office 365 e OneDrive que podem ser abusados para comando e controle. Os defensores também devem bloquear os domínios maliciosos e endereços IP conhecidos, desabilitar serviços desnecessários e restringir ferramentas de execução remota, como Impacket e WMI, sempre que possível. O monitoramento deve se concentrar nos nomes de tarefas agendadas identificados e nos padrões de sideloading de DLL associados à campanha.
Resposta
As equipes de segurança devem alertar sobre os indicadores de comprometimento listados, isolar os sistemas afetados e coletar logs relevantes e artefatos forenses para análise. As credenciais devem ser rotacionadas prontamente e o Active Directory deve ser revisado cuidadosamente em busca de sinais de comprometimento ou acesso não autorizado. O conteúdo de detecção também deve ser atualizado para cobrir as linhas de comando observadas e as tarefas agendadas, enquanto os defensores buscam por implantes adicionais das mesmas famílias de malware em todo o ambiente.
"graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#cccccc classDef operator fill:#ff9900 %% Initial Access initial_access["<b>Ação</b> – <b>T1190 Exploração de Aplicação Pública</b><br/><b>Descrição</b>: Explorar um serviço vulnerável exposto à internet para obter acesso inicial."] class initial_access action vuln_app["<b>Ferramenta</b> – <b>Nome</b>: Cityworks (vulnerável)<br/><b>Descrição</b>: Aplicação pública contendo CVE‑2025‑0994."] class vuln_app tool %% Execution – System Binary Proxy exec_proxy["<b>Ação</b> – <b>T1218.002 Execução de Proxy de Binário do Sistema</b><br/><b>Descrição</b>: Abusar de binários do sistema confiáveis para executar código malicioso por meio de proxy."] class exec_proxy action control_panel["<b>Ferramenta</b> – <b>Nome</b>: Painel de Controle<br/><b>Descrição</b>: Binário legítimo usado como proxy."] class control_panel tool %% Execution – Trusted Developer Utilities Proxy (MSBuild) exec_msbuild["<b>Ação</b> – <b>T1127.001 Execução de Proxy de Utilitários de Desenvolvedor Confiáveis</b><br/><b>Descrição</b>: Usar MSBuild para carregar DLLs maliciosas via sideload."] class exec_msbuild action msbuild["<b>Ferramenta</b> – <b>Nome</b>: MSBuild<br/><b>Descrição</b>: Motor de construção da Microsoft usado para executar arquivos de projeto."] class msbuild tool %% Execution – Shared Modules (DLL Sideloading) exec_shared["<b>Ação</b> – <b>T1129 Módulos Compartilhados</b><br/><b>Descrição</b>: Carregar DLLs maliciosas colocando-as próximas a executáveis benignos."] class exec_shared action yandex_exe["<b>Ferramenta</b> – <b>Nome</b>: Yandex.exe<br/><b>Descrição</b>: Executável legítimo usado como dropper."] class yandex_exe tool vmtools_exe["<b>Ferramenta</b> – <b>Nome</b>: VMtools.exe<br/><b>Descrição</b>: Binário de ferramentas VMware usado para sideloading."] class vmtools_exe tool malware_nedraft["<b>Malware</b> – <b>Nome</b>: NetDraft"] class malware_nedraft malware malware_cloudsorcerer["<b>Malware</b> – <b>Nome</b>: CloudSorcerer"] class malware_cloudsorcerer malware malware_vshell["<b>Malware</b> – <b>Nome</b>: VSHELL"] class malware_vshell malware %% Persistence – Scheduled Task persistence_task["<b>Ação</b> – <b>T1053 Tarefa/Trabalho Agendado</b><br/><b>Descrição</b>: Criar tarefas agendadas para executar binários maliciosos de forma persistente."] class persistence_task action scheduled_task["<b>Ferramenta</b> – <b>Nome</b>: MicrosoftMaps{…}<br/><b>Descrição</b>: Tarefa agendada usada para persistência."] class scheduled_task tool %% Defense Evasion – Exploitation for Evasion defev_evasion["<b>Ação</b> – <b>T1211 Exploração para Evasão de Defesa</b><br/><b>Descrição</b>: Aproveitar-se de vulnerabilidades para contornar controles de segurança."] class defev_evasion action %% Defense Evasion – Subvert Trust Controls (Code Signing) defev_signing["<b>Ação</b> – <b>T1553.006 Subverter Controles de Confiança</b><br/><b>Descrição</b>: Modificar políticas de assinatura de código para confiar em binários maliciosos."] class defev_signing action %% Defense Evasion – Pre-OS Boot (ROMMONkit) defev_rommon["<b>Ação</b> – <b>T1542.004 Pré-Boot do SO: ROMMONkit</b><br/><b>Descrição</b>: Instalar driver malicioso durante o boot do firmware."] class defev_rommon action rommon_driver["<b>Ferramenta</b> – <b>Nome</b>: Driver Hades HIPS"] class rommon_driver tool %% Discovery – Account and Group discovery_account["<b>Ação</b> – <b>T1087.002 Descoberta de Conta: Conta de Domínio</b><br/><b>Descrição</b>: Enumerar contas de usuários de domínio."] class discovery_account action discovery_groups["<b>Ação</b> – <b>T1069.002 Descoberta de Grupos de Permissão: Grupos de Domínio</b><br/><b>Descrição</b>: Enumerar grupos de domínio."] class discovery_groups action %% Discovery – Network discovery_netconn["<b>Ação</b> – <b>T1049 Descoberta de Conexões de Rede do Sistema</b><br/><b>Descrição</b>: Identificar conexões de rede ativas."] class discovery_netconn action discovery_remotes["<b>Ação</b> – <b>T1018 Descoberta de Sistema Remoto</b><br/><b>Descrição</b>: Encontrar sistemas remotos na rede."] class discovery_remotes action discovery_scanning["<b>Ação</b> – <b>T1595.001 Varredura Ativa: Escaneamento de Blocos de IP</b><br/><b>Descrição</b>: Escanear intervalos de IP para hosts ativos."] class discovery_scanning action discovery_netconfig["<b>Ação</b> – <b>T1016.001 Descoberta de Configuração de Rede do Sistema: Descoberta de Conexão à Internet</b><br/><b>Descrição</b>: Coletar detalhes de configuração de rede."] class discovery_netconfig action discovery_cloud["<b>Ação</b> – <b>T1526 Descoberta de Serviços em Nuvem</b><br/><b>Descrição</b>: Identificar uso de serviços em nuvem."] class discovery_cloud action discovery_cfg_repo["<b>Ação</b> – <b>T1602 Dados do Repositório de Configuração</b><br/><b>Descrição</b>: Despejar configuração de dispositivo de rede via SNMP MIB."] class discovery_cfg_repo action %% Lateral Movement – Exploitation of Remote Services lateral_wmi["<b>Ação</b> – <b>T1210 Exploração de Serviços Remotos</b><br/><b>Descrição</b>: Usar WMI ou SMB para executar código em hosts remotos."] class lateral_wmi action lateral_smb["<b>Ação</b> – <b>T1021.002 Serviços Remotos: Compartilhamentos de Administrador SMB/Windows</b><br/><b>Descrição</b>: Acessar compartilhamentos de administrador para movimento lateral."] class lateral_smb action lateral_transfer["<b>Ação</b> – <b>T1570 Transferência de Ferramentas Laterais</b><br/><b>Descrição</b>: Transferir ferramentas para sistemas remotos."] class lateral_transfer action lateral_taint["<b>Ação</b> – <b>T1080 Contaminação de Conteúdo Compartilhado</b><br/><b>Descrição</b>: Envenenar arquivos compartilhados para espalhar malware."] class lateral_taint action lateral_cloud["<b>Ação</b> – <b>T1021.007 Serviços Remotos: Serviços de Nuvem</b><br/><b>Descrição</b>: Usar OneDrive ou GitHub para movimento lateral."] class lateral_cloud action lateral_rats["<b>Ação</b> – <b>T1219 Ferramentas de Acesso Remoto</b><br/><b>Descrição</b>: Implantar ferramentas como gogo, httpx, SNOWRUST."] class lateral_rats action tool_gogo["<b>Ferramenta</b> – <b>Nome</b>: gogo"] class tool_gogo tool tool_httpx["<b>Ferramenta</b> – <b>Nome</b>: httpx"] class tool_httpx tool tool_snowrust["<b>Ferramenta</b> – <b>Nome</b>: SNOWRUST"] class tool_snowrust tool %% Privilege Escalation – Account Manipulation priv_esc["<b>Ação</b> – <b>T1098.007 Manipulação de Conta: Grupos Locais ou de Domínio Adicionais</b><br/><b>Descrição</b>: Adicionar contas comprometidas a grupos privilegiados."] class priv_esc action %% Command and Control – Proxy (multi-hop) c2_proxy["<b>Ação</b> – <b>T1090 Proxy</b><br/><b>Descrição</b>: Roteamento de tráfego por meio de proxies internos, externos e de múltiplos saltos."] class c2_proxy action c2_proxy_int["<b>Ferramenta</b> – <b>Nome</b>: Proxy Interno"] class c2_proxy_int tool c2_proxy_ext["<b>Ferramenta</b> – <b>Nome</b>: Proxy Externo"] class c2_proxy_ext tool %% Command and Control – Protocol Tunneling c2_tunnel["<b>Ação</b> – <b>T1572 Tunelamento de Protocolo</b><br/><b>Descrição</b>: Encapsular tráfego de C2 dentro de protocolos permitidos."] class c2_tunnel action %% Command and Control – Cloud API c2_cloudapi["<b>Ação</b> – <b>T1059.009 Interpretador de Comando e Scripts: API de Nuvem</b><br/><b>Descrição</b>: Usar APIs do OneDrive, GitHub, GameSpot para C2."] class c2_cloudapi action c2_onedrive["<b>Ferramenta</b> – <b>Nome</b>: OneDrive"] class c2_onedrive tool c2_github["<b>Ferramenta</b> – <b>Nome</b>: GitHub"] class c2_github tool c2_gamespot["<b>Ferramenta</b> – <b>Nome</b>: GameSpot"] class c2_gamespot tool %% Command and Control – Web Protocols c2_web["<b>Ação</b> – <b>T1071.001 Protocolo de Camada de Aplicação: Protocolos Web</b><br/><b>Descrição</b>: Comunicar-se por HTTP/HTTPS."] class c2_web action %% Command and Control – Multi-Stage Channels c2_multi["<b>Ação</b> – <b>T1104 Canais Multi‑Stage</b><br/><b>Descrição</b>: Corrente de múltiplos canais de C2 para resiliência."] class c2_multi action %% Exfiltration – Over Web Service exfil_web["<b>Ação</b> – <b>T1567.002 Exfiltração por Serviço Web</b><br/><b>Descrição</b>: Carregar dados roubados para serviços de armazenamento em nuvem."] class exfil_web action %% Connections – Attack Flow initial_access –>|explorations| vuln_app vuln_app –>|possibilita| exec_proxy exec_proxy –>|usa| control_panel exec_proxy –>|leva a| exec_msbuild exec_msbuild –>|usa| msbuild exec_msbuild –>|facilita| exec_shared exec_shared –>|aproveita| yandex_exe exec_shared –>|aproveita| vmtools_exe exec_shared –>|carrega| malware_nedraft exec_shared –>|carrega| malware_cloudsorcerer exec_shared –>|carrega| malware_vshell exec_shared –>|cria| persistence_task persistence_task –>|cria| scheduled_task scheduled_task –>|mantém| defev_evasion defev_evasion –>|inclui| defev_signing defev_signing –>|modifica| rommon_driver defev_evasion –>|inclui| defev_rommon defev_rommon –>|instala| rommon_driver %% Discovery Flow scheduled_task –>|coleta| discovery_account scheduled_task –>|coleta| discovery_groups scheduled_task –>|coleta| discovery_netconn scheduled_task –>|coleta| discovery_remotes scheduled_task –>|coleta| discovery_scanning scheduled_task –>|coleta| discovery_netconfig scheduled_task –>|coleta| discovery_cloud scheduled_task –>|coleta| discovery_cfg_repo %% Lateral Movement Flow discovery_remotes –>|habilita| lateral_wmi lateral_wmi –>|usa| lateral_smb lateral_smb –>|transfere| lateral_transfer lateral_transfer –>|move| lateral_cloud lateral_cloud –>|usa| c2_onedrive lateral_cloud –>|usa| c2_github lateral_cloud –>|usa| c2_gamespot lateral_wmi –>|executa| lateral_rats lateral_rats –>|usa| tool_gogo lateral_rats –>|usa| tool_httpx lateral_rats –>|usa| tool_snowrust %% Privilege Escalation Flow discovery_groups –>|suporta| priv_esc %% Command and Control Flow priv_esc –>|reporta para| c2_proxy c2_proxy –>|roteia através de| c2_proxy_int c2_proxy –>|roteia através de| c2_proxy_ext c2_proxy –>|usa| c2_tunnel c2_tunnel –>|estabelece| c2_cloudapi c2_cloudapi –>|se comunica via| c2_onedrive c2_cloudapi –>|se comunica via| c2_github c2_cloudapi –>|se comunica via| c2_gamespot c2_cloudapi –>|usa| c2_web c2_web –>|habilita| c2_multi c2_multi –>|entrega| exfil_web %% Styling class initial_access,exec_proxy,exec_msbuild,exec_shared,persistence_task,defev_evasion,defev_signing,defev_rommon,discovery_account,discovery_groups,discovery_netconn,discovery_remotes,discovery_scanning,discovery_netconfig,discovery_cloud,discovery_cfg_repo,lateral_wmi,lateral_smb,lateral_transfer,lateral_taint,lateral_cloud,lateral_rats,priv_esc,c2_proxy,c2_tunnel,c2_cloudapi,c2_web,c2_multi,exfil_web action class vuln_app,control_panel,msbuild,yandex_exe,vmtools_exe,malware_nedraft,malware_cloudsorcerer,malware_vshell,scheduled_task,rommon_driver,tool_gogo,tool_httpx,tool_snowrust,tool_gogo,tool_httpx,tool_snowrust,c2_proxy_int,c2_proxy_ext,c2_onedrive,c2_github,c2_gamespot tool class rommon_driver malware "
Fluxo de Ataque
Detecções
Uso Suspeito de CURL (via linha de comando)
Ver
Possível Abuso de Domínio de Desenvolvimento da Cloudflare (via dns)
Ver
Possíveis Padrões de Linha de Comando do Impacket (via linha de comando)
Ver
Possível Uso de Ferramentas Sysinternals (via linha de comando)
Ver
Powershell Executando Arquivo em Diretório Suspeito Usando Política de Execução de Contorno (via linha de comando)
Ver
Possível Enumeração do Sistema (via linha de comando)
Ver
Possível Descoberta de Sistema Remoto ou Verificação de Conectividade (via linha de comando)
Ver
Possível Enumeração de Conta ou Grupo de Administrador (via linha de comando)
Ver
Descoberta Suspeita de Confianças de Domínio (via linha de comando)
Ver
Possível Descoberta de Configuração da Rede do Sistema (via linha de comando)
Ver
Schtasks Apontando para Diretório / Binário / Script Suspeito (via linha de comando)
Ver
LOLBAS wmic (via linha de comando)
Ver
Usando Certutil para Codificação de Dados e Operações de Certidão (via linha de comando)
Ver
Execução Suspeita de Perfil de Usuário Público (via criação de processo)
Ver
Possível Coleta de Dados [7zip] (via linha de comando)
Ver
Arquivos Suspeitos em Perfil de Usuário Público (via evento de arquivo)
Ver
Download de Arquivo Suspeito por IP Direto (via proxy)
Ver
IOCs (HashSha256) para detectar: UAT-8302 e seu arsenal de malware
Ver
IOCs (SourceIP) para detectar: UAT-8302 e seu arsenal de malware
Ver
IOCs (DestinationIP) para detectar: UAT-8302 e seu arsenal de malware
Ver
Criação de Processo de Tarefa Agendada e WMIC por UAT-8302 [Criação de Processo do Windows]
Ver
Detectar Atividade de Reconhecimento de PowerShell do UAT-8302 [PowerShell do Windows]
Ver
Execução de Simulação
Pré-requisito: A Verificação de Pré-voo de Telemetria e Linha de Base deve ter sido aprovada.
Racional: Esta seção detalha a execução precisa da técnica adversária (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visar gerar a telemetria exata esperada pela lógica de detecção.
-
Narrativa de Ataque & Comandos:
Um adversário que obteve uma posição em um host Windows associado a um domínio deseja conduzir reconhecimento rápido do Active Directory e dos logs de segurança, espelhando o conhecido playbook UAT‑8302. Para evitar a detecção, o atacante primeiro desativa a transcrição do PowerShell, depois emite as três linhas de comando exatas que a regra Sigma está ajustada para capturar:- Desdobrar um script temporário (
whatpc.ps1) para a pasta Temp e executá-lo com uma política de execução contornada. - Enumerar todos os usuários do AD e propriedades selecionadas em um único pipeline.
- Listar a configuração do log de eventos de Segurança para avaliar o que pode ser lido ou limpo mais tarde.
Esses comandos geram eventos operacionais do PowerShell (EventID 4104) cujos
CommandLinecampos correspondem aosseleção1‑3cláusulas da regra, portanto, devem disparar um alerta. - Desdobrar um script temporário (
-
Script de Teste de Regressão:
# ------------------------------------------------- # Script de Simulação de Reconhecimento UAT‑8302 # ------------------------------------------------- # 1. Desdobrar e executar um script dummy (whatpc.ps1) $scriptPath = "$env:windirTempwhatpc.ps1" Set-Content -Path $scriptPath -Value '# Script dummy para teste de detecção' -Encoding ASCII powershell -ExecutionPolicy Bypass -WindowStyle Hidden -File $scriptPath # 2. Enumeração de usuários do AD (requer módulo RSAT AD) powershell -Command "Get-ADUser -Filter * -Property * | Select-Object Name, DisplayName, LastLogonDate, PasswordLastSet, PasswordExpired, Description, EmailAddress, homeDirectory, scriptPath" # 3. Enumeração de log de segurança powershell -Command "Get-WinEvent -ListLog Security | Format-List LogName, FileSize, LogMode, MaximumSizeInBytes, RecordCount" # ------------------------------------------------- -
Comandos de Limpeza:
# Remover o script temporário Remove-Item -Path "$env:windirTempwhatpc.ps1" -Force # Opcionalmente limpar histórico de sessão do PowerShell (se persistido) Clear-History