SOC Prime Bias: Crítico

12 Jan 2026 15:32 UTC

UAT-7290 apunta a infraestructuras de telecomunicaciones de alto valor en el sur de Asia

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
UAT-7290 apunta a infraestructuras de telecomunicaciones de alto valor en el sur de Asia
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

UAT-7290 es un grupo de amenazas persistentes avanzadas vinculado a China, evaluado como activo desde al menos 2022. Prioriza el acceso inicial a dispositivos de red perimetral y realiza intrusiones enfocadas en espionaje contra proveedores de telecomunicaciones en el sur de Asia, con actividad más reciente extendiéndose al sureste de Europa. El conjunto de herramientas del grupo abarca implantes para Linux—RushDrop, DriveSwitch, SilentRaid y Bulbature—y cargas útiles para Windows como RedLeaves y ShadowPad. UAT-7290 también mantiene una infraestructura de Caja de Relevo Operacional (ORB) que puede ser reutilizada para redirigir tráfico para otros actores de amenazas.

Investigación

Cisco Talos analizó muestras relevantes y documentó una cadena de infección en Linux escalonada que comienza con el instalador RushDrop creando un directorio oculto .pkgdb. Las etapas subsecuentes despliegan DriveSwitch y luego el implante principal SilentRaid. Estos componentes utilizan la resolución de DNS a través de resolutores públicos para alcanzar el comando y control y soportar capacidades como la ejecución de comandos, gestión de archivos, y establecimiento de shell inverso. Bulbature funciona como un nodo ORB, escuchando en puertos configurables y utilizando un certificado autofirmado recurrente que Talos observó en numerosos sistemas alojados en China.

Mitigación

Fortalezca los dispositivos de red perimetral eliminando credenciales predeterminadas, restringiendo la exposición de gestión, y parcheando rápidamente vulnerabilidades conocidas de un día. Monitorice comportamientos anómalos de DNS—especialmente consultas inesperadas dirigidas a resolutores públicos—junto con el uso inusual de comandos BusyBox y la aparición de binarios desconocidos dentro de directorios ocultos. Donde sea aplicable, despliegue protecciones de punto final y de red capaces de detectar las firmas referidas de ClamAV y Snort SID 65124, y asegúrese de que las alertas estén conectadas a los flujos de trabajo de SOC.

Respuesta

Si se identifica actividad sospechosa, aísle el dispositivo afectado, capture imágenes de memoria volátil y de disco, y bloquee inmediatamente cualquier dominio o dirección IP de C2 confirmados. Realice análisis forenses dirigidos en el directorio .pkgdb, artefactos de configuración /tmp, y cualquier evidencia de shells inversos generados. Restablezca las credenciales comprometidas, rote las claves SSH, y valide que no queden nodos ORB operativos dentro del entorno.

Flujo de Ataque

Ejecución de Simulación

Prerequisito: La Verificación de Prevuelo de Telemetría y Línea Base debe haber pasado.

Razonamiento: Esta sección detalla la ejecución precisa de la técnica (TTP) del adversario diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente las TTPs identificadas y pretender generar la telemetría exacta esperada por la lógica de detección. Los ejemplos abstractos o no relacionados llevarán a un mal diagnóstico.

  • Narrativa de Ataque y Comandos:

    1. Ejecución Inicial del Instalador (T1480.002):
      El atacante ejecuta el binario de RushDrop, que, como parte de su carga útil, crea un directorio oculto llamado binary, which, as part of its payload, creates a hidden directory named .pkgdb en el directorio de trabajo actual.

      ./RushDrop --install .pkgdb
    2. Lanzamiento de Componente Privilegiado (T1569):
      El instalador luego genera SilentRaid con un argumento plugins para cargar módulos maliciosos que establecen persistencia a través de servicios del sistema.

      sudo ./SilentRaid --load plugins
    3. Descubrimiento de Red (T1016.001):
      Finalmente, el malware recolecta información de enrutamiento para mapear la red interna:

      cat /proc/net/route

    Cuando estos tres fragmentos de línea de comandos aparecen juntos (o los dos primeros juntos con la tercera como alternativa), la condición de la regla Sigma evalúa como verdadera, generando una alerta. and the third as an alternative), the Sigma rule condition evaluates to true, generating an alert.

  • Script de Prueba de Regresión:

    #!/usr/bin/env bash
    #
    # Script de validación de detección de UAT‑7290
    # Simula los patrones exactos de la línea de comandos requeridos por la regla Sigma.
    #
    set -euo pipefail
    
    # 1. Crear un directorio de trabajo temporal
    WORKDIR=$(mktemp -d)
    cd "$WORKDIR"
    
    # 2. Simular binario de RushDrop
    echo -e '#!/usr/bin/env bashnecho "RushDrop ejecutado"' > RushDrop
    chmod +x RushDrop
    
    # 3. Ejecutar RushDrop con el argumento .pkgdb (crea la carpeta)
    ./RushDrop --install .pkgdb
    mkdir -p .pkgdb   # imitar comportamiento del instalador
    
    # 4. Simular binario de SilentRaid
    echo -e '#!/usr/bin/env bashnecho "SilentRaid cargó plugins"' > SilentRaid
    chmod +x SilentRaid
    
    # 5. Ejecutar SilentRaid con argumento plugins (requiere sudo para realismo)
    sudo ./SilentRaid --load plugins
    
    # 6. Comando de descubrimiento de red
    cat /proc/net/route
    
    # 7. Limpieza (opcional – conservar para inspección manual si es necesario)
    # rm -rf "$WORKDIR"
  • Comandos de Limpieza:

    # Eliminar el directorio temporal y cualquier artefacto creado durante la prueba
    sudo rm -rf "$WORKDIR"
    # Vaciar la cola de auditd para asegurar que no queden eventos residuales
    sudo auditctl -D
    # Reiniciar auditd para restaurar las reglas por defecto
    sudo systemctl restart auditd