SOC Prime Bias: Crítico

12 Ene 2026 18:32
newspaper icon Blog de Cisco Talos

UAT-7290 apunta a infraestructuras de telecomunicaciones de alto valor en el sur de Asia

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
UAT-7290 apunta a infraestructuras de telecomunicaciones de alto valor en el sur de Asia
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumen

UAT-7290 es un grupo de amenazas persistentes avanzadas vinculado a China, evaluado como activo desde al menos 2022. Prioriza el acceso inicial a dispositivos de red perimetral y realiza intrusiones enfocadas en espionaje contra proveedores de telecomunicaciones en el sur de Asia, con actividad más reciente extendiéndose al sureste de Europa. El conjunto de herramientas del grupo abarca implantes para Linux—RushDrop, DriveSwitch, SilentRaid y Bulbature—y cargas útiles para Windows como RedLeaves y ShadowPad. UAT-7290 también mantiene una infraestructura de Caja de Relevo Operacional (ORB) que puede ser reutilizada para redirigir tráfico para otros actores de amenazas.

Investigación

Cisco Talos analizó muestras relevantes y documentó una cadena de infección en Linux escalonada que comienza con el instalador RushDrop creando un directorio oculto .pkgdb. Las etapas subsecuentes despliegan DriveSwitch y luego el implante principal SilentRaid. Estos componentes utilizan la resolución de DNS a través de resolutores públicos para alcanzar el comando y control y soportar capacidades como la ejecución de comandos, gestión de archivos, y establecimiento de shell inverso. Bulbature funciona como un nodo ORB, escuchando en puertos configurables y utilizando un certificado autofirmado recurrente que Talos observó en numerosos sistemas alojados en China.

Mitigación

Fortalezca los dispositivos de red perimetral eliminando credenciales predeterminadas, restringiendo la exposición de gestión, y parcheando rápidamente vulnerabilidades conocidas de un día. Monitorice comportamientos anómalos de DNS—especialmente consultas inesperadas dirigidas a resolutores públicos—junto con el uso inusual de comandos BusyBox y la aparición de binarios desconocidos dentro de directorios ocultos. Donde sea aplicable, despliegue protecciones de punto final y de red capaces de detectar las firmas referidas de ClamAV y Snort SID 65124, y asegúrese de que las alertas estén conectadas a los flujos de trabajo de SOC.

Respuesta

Si se identifica actividad sospechosa, aísle el dispositivo afectado, capture imágenes de memoria volátil y de disco, y bloquee inmediatamente cualquier dominio o dirección IP de C2 confirmados. Realice análisis forenses dirigidos en el directorio .pkgdb, artefactos de configuración /tmp, y cualquier evidencia de shells inversos generados. Restablezca las credenciales comprometidas, rote las claves SSH, y valide que no queden nodos ORB operativos dentro del entorno.

«graph TB %% Definiciones de clase classDef action fill:#99ccff classDef tool fill:#ffe699 classDef malware fill:#ffcccc classDef operator fill:#ff9900 %% Fase de Reconocimiento phase_recon[«<b>Fase</b> – Reconocimiento»] class phase_recon action tech_active_scanning[«<b>Técnica</b> – T1595 Escaneo Activo<br><b>Descripción</b>: Identificar servicios, versiones y configuraciones de la infraestructura objetivo.»] class tech_active_scanning action tech_search_closed_sources[«<b>Técnica</b> – T1597.001 Búsqueda de Fuentes Cerradas<br><b>Descripción</b>: Recolectar inteligencia de informes de proveedores y otras fuentes no públicas.»] class tech_search_closed_sources action %% Fase de Acceso Inicial phase_initial[«<b>Fase</b> – Acceso Inicial»] class phase_initial action tech_exploit_public_facing[«<b>Técnica</b> – T1190 Explotación de Aplicaciones Expuestas al Público<br><b>Descripción</b>: Usar vulnerabilidades en dispositivos expuestos a internet para obtener acceso inicial.»] class tech_exploit_public_facing action tech_ssh_remote[«<b>Técnica</b> – T1021.004 Servicios Remotos (SSH)<br><b>Descripción</b>: Acceder a dispositivos objetivo a través de SSH.»] class tech_ssh_remote action tech_ssh_hijack[«<b>Técnica</b> – T1563.001 Secuestro de Sesión de Servicio Remoto<br><b>Descripción</b>: Secuestrar sesiones SSH existentes para eludir la autenticación.»] class tech_ssh_hijack action tool_bruteforce[«<b>Herramienta</b> – Nombre: Script de Fuerza Bruta SSH<br/><b>Descripción</b>: Intenta adivinar credenciales en servicios SSH.»] class tool_bruteforce tool %% Fase de Ejecución y Evasión de Defensa phase_exec[«<b>Fase</b> – Ejecución y Evasión de Defensa»] class phase_exec action tech_vm_evasion[«<b>Técnica</b> – T1497 Evasión de Virtualización/Sandbox<br><b>Descripción</b>: Detecta entornos de análisis y modifica el comportamiento.»] class tech_vm_evasion action tech_unix_shell[«<b>Técnica</b> – T1059.004 Intérprete de Comandos y Scripts: Shell Unix<br><b>Descripción</b>: Ejecuta comandos a través de /bin/sh o busybox.»] class tech_unix_shell action tech_obfuscation[«<b>Técnica</b> – T1027 Archivos o Información Ofuscada<br><b>Descripción</b>: Utiliza empaquetado o codificación para ocultar código malicioso.»] class tech_obfuscation action tech_data_obfuscation[«<b>Técnica</b> – T1001 Ofuscación de Datos<br><b>Descripción</b>: Altera los datos para evitar la detección.»] class tech_data_obfuscation action tech_masquerade[«<b>Técnica</b> – T1036.008 Suplantación: Suplantación de Tipo de Archivo<br><b>Descripción</b>: Renombra binarios para que parezcan archivos legítimos.»] class tech_masquerade action malware_rushdrop[«<b>Malware</b> – Nombre: RushDrop<br/><b>Descripción</b>: Carga maliciosa entregada tras la explotación, comprimida con UPX.»] class malware_rushdrop malware malware_driveswitch[«<b>Malware</b> – Nombre: DriveSwitch<br/><b>Descripción</b>: Utiliza busybox para la ejecución de comandos.»] class malware_driveswitch malware %% Fase de Escalada de Privilegios phase_priv_esc[«<b>Fase</b> – Escalada de Privilegios»] class phase_priv_esc action tech_exploit_priv[«<b>Técnica</b> – T1068 Explotación para Escalada de Privilegios<br><b>Descripción</b>: Aprovecha componentes vulnerables para obtener derechos más altos.»] class tech_exploit_priv action tech_abuse_elevation[«<b>Técnica</b> – T1548 Abuso del Mecanismo de Control de Elevación<br><b>Descripción</b>: Manipula mecanismos que otorgan privilegios elevados.»] class tech_abuse_elevation action %% Fase de Acceso a Credenciales y Descubrimiento phase_cred_disc[«<b>Fase</b> – Acceso a Credenciales y Descubrimiento»] class phase_cred_disc action tech_credential_dump[«<b>Técnica</b> – T1003.008 Vertido de Credenciales de SO<br><b>Descripción</b>: Lee /etc/passwd y /etc/shadow para contraseñas.»] class tech_credential_dump action tech_system_info[«<b>Técnica</b> – T1082 Descubrimiento de Información del Sistema<br><b>Descripción</b>: Recopila nombre de host, versión del sistema operativo y detalles del hardware.»] class tech_system_info action tech_software_collect[«<b>Técnica</b> – T1592.002 Recolectar Información de la Víctima: Software<br><b>Descripción</b>: Enumera paquetes de software instalados.»] class tech_software_collect action tech_hardware_collect[«<b>Técnica</b> – T1592.001 Recolectar Información de la Víctima: Hardware<br><b>Descripción</b>: Recupera datos de CPU, memoria y dispositivos.»] class tech_hardware_collect action %% Fase de Movimiento Lateral phase_lateral[«<b>Fase</b> – Movimiento Lateral»] class phase_lateral action tech_internal_proxy[«<b>Técnica</b> – T1090.001 Proxy: Proxy Interno<br><b>Descripción</b>: Reenvía tráfico a través de hosts internos comprometidos.»] class tech_internal_proxy action tech_external_proxy[«<b>Técnica</b> – T1090.002 Proxy: Proxy Externo<br><b>Descripción</b>: Utiliza servicios de proxy externos para ocultar el origen.»] class tech_external_proxy action tech_protocol_tunnel[«<b>Técnica</b> – T1572 Tunelización de Protocolo<br><b>Descripción</b>: Encapsula tráfico dentro de protocolos permitidos.»] class tech_protocol_tunnel action tech_nonstandard_port[«<b>Técnica</b> – T1571 Puerto No Estándar<br><b>Descripción</b>: Comunica a través de puertos poco comunes para evadir detección.»] class tech_nonstandard_port action %% Fase de Comando y Control phase_c2[«<b>Fase</b> – Comando y Control»] class phase_c2 action tech_dead_drop[«<b>Técnica</b> – T1102.001 Servicio Web: Resolvedor Dead Drop<br><b>Descripción</b>: Resuelve dominios C2 a través de consultas DNS públicas.»] class tech_dead_drop action tech_one_way[«<b>Técnica</b> – T1102.003 Servicio Web: Comunicación Unidireccional<br><b>Descripción</b>: Envía datos a C2 sobre DNS sin recibir respuestas.»] class tech_one_way action tech_data_encoding[«<b>Técnica</b> – T1132 Codificación de Datos<br><b>Descripción</b>: Codifica resultados de comandos antes de la transmisión.»] class tech_data_encoding action %% Conexiones phase_recon u002du002d>|utiliza| tech_active_scanning phase_recon u002du002d>|utiliza| tech_search_closed_sources phase_initial u002du002d>|aprovecha| tech_exploit_public_facing phase_initial u002du002d>|aprovecha| tech_ssh_remote phase_initial u002du002d>|aprovecha| tech_ssh_hijack phase_initial u002du002d>|utiliza| tool_bruteforce phase_exec u002du002d>|emplea| tech_vm_evasion phase_exec u002du002d>|ejecuta| tech_unix_shell phase_exec u002du002d>|aplica| tech_obfuscation phase_exec u002du002d>|aplica| tech_data_obfuscation phase_exec u002du002d>|aplica| tech_masquerade phase_exec u002du002d>|entrega| malware_rushdrop phase_exec u002du002d>|entrega| malware_driveswitch phase_priv_esc u002du002d>|utiliza| tech_exploit_priv phase_priv_esc u002du002d>|utiliza| tech_abuse_elevation phase_cred_disc u002du002d>|realiza| tech_credential_dump phase_cred_disc u002du002d>|realiza| tech_system_info phase_cred_disc u002du002d>|realiza| tech_software_collect phase_cred_disc u002du002d>|realiza| tech_hardware_collect phase_lateral u002du002d>|establece| tech_internal_proxy phase_lateral u002du002d>|establece| tech_external_proxy phase_lateral u002du002d>|utiliza| tech_protocol_tunnel phase_lateral u002du002d>|utiliza| tech_nonstandard_port phase_c2 u002du002d>|resuelve| tech_dead_drop phase_c2 u002du002d>|transmite| tech_one_way phase_c2 u002du002d>|codifica| tech_data_encoding «

Flujo de Ataque

Ejecución de Simulación

Prerequisito: La Verificación de Prevuelo de Telemetría y Línea Base debe haber pasado.

Razonamiento: Esta sección detalla la ejecución precisa de la técnica (TTP) del adversario diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente las TTPs identificadas y pretender generar la telemetría exacta esperada por la lógica de detección. Los ejemplos abstractos o no relacionados llevarán a un mal diagnóstico.

  • Narrativa de Ataque y Comandos:

    1. Ejecución Inicial del Instalador (T1480.002):
      El atacante ejecuta el binario de RushDrop, que, como parte de su carga útil, crea un directorio oculto llamado binary, which, as part of its payload, creates a hidden directory named .pkgdb en el directorio de trabajo actual.

      ./RushDrop --install .pkgdb

    2. Lanzamiento de Componente Privilegiado (T1569):
      El instalador luego genera SilentRaid con un argumento plugins para cargar módulos maliciosos que establecen persistencia a través de servicios del sistema.

      sudo ./SilentRaid --load plugins

    3. Descubrimiento de Red (T1016.001):
      Finalmente, el malware recolecta información de enrutamiento para mapear la red interna:

      cat /proc/net/route

    Cuando estos tres fragmentos de línea de comandos aparecen juntos (o los dos primeros juntos con la tercera como alternativa), la condición de la regla Sigma evalúa como verdadera, generando una alerta. and the third as an alternative), the Sigma rule condition evaluates to true, generating an alert.

  • Script de Prueba de Regresión:

    #!/usr/bin/env bash
#
# Script de validación de detección de UAT‑7290
# Simula los patrones exactos de la línea de comandos requeridos por la regla Sigma.
#
set -euo pipefail

# 1. Crear un directorio de trabajo temporal
WORKDIR=$(mktemp -d)
cd "$WORKDIR"

# 2. Simular binario de RushDrop
echo -e '#!/usr/bin/env bashnecho "RushDrop ejecutado"' > RushDrop
chmod +x RushDrop

# 3. Ejecutar RushDrop con el argumento .pkgdb (crea la carpeta)
./RushDrop --install .pkgdb
mkdir -p .pkgdb   # imitar comportamiento del instalador

# 4. Simular binario de SilentRaid
echo -e '#!/usr/bin/env bashnecho "SilentRaid cargó plugins"' > SilentRaid
chmod +x SilentRaid

# 5. Ejecutar SilentRaid con argumento plugins (requiere sudo para realismo)
sudo ./SilentRaid --load plugins

# 6. Comando de descubrimiento de red
cat /proc/net/route

# 7. Limpieza (opcional – conservar para inspección manual si es necesario)
# rm -rf "$WORKDIR"

  • Comandos de Limpieza:

    # Eliminar el directorio temporal y cualquier artefacto creado durante la prueba
sudo rm -rf "$WORKDIR"
# Vaciar la cola de auditd para asegurar que no queden eventos residuales
sudo auditctl -D
# Reiniciar auditd para restaurar las reglas por defecto
sudo systemctl restart auditd

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.

Únete gratis