UAT-7290 apunta a infraestructuras de telecomunicaciones de alto valor en el sur de Asia
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
UAT-7290 es un grupo de amenazas persistentes avanzadas vinculado a China, evaluado como activo desde al menos 2022. Prioriza el acceso inicial a dispositivos de red perimetral y realiza intrusiones enfocadas en espionaje contra proveedores de telecomunicaciones en el sur de Asia, con actividad más reciente extendiéndose al sureste de Europa. El conjunto de herramientas del grupo abarca implantes para Linux—RushDrop, DriveSwitch, SilentRaid y Bulbature—y cargas útiles para Windows como RedLeaves y ShadowPad. UAT-7290 también mantiene una infraestructura de Caja de Relevo Operacional (ORB) que puede ser reutilizada para redirigir tráfico para otros actores de amenazas.
Investigación
Cisco Talos analizó muestras relevantes y documentó una cadena de infección en Linux escalonada que comienza con el instalador RushDrop creando un directorio oculto .pkgdb. Las etapas subsecuentes despliegan DriveSwitch y luego el implante principal SilentRaid. Estos componentes utilizan la resolución de DNS a través de resolutores públicos para alcanzar el comando y control y soportar capacidades como la ejecución de comandos, gestión de archivos, y establecimiento de shell inverso. Bulbature funciona como un nodo ORB, escuchando en puertos configurables y utilizando un certificado autofirmado recurrente que Talos observó en numerosos sistemas alojados en China.
Mitigación
Fortalezca los dispositivos de red perimetral eliminando credenciales predeterminadas, restringiendo la exposición de gestión, y parcheando rápidamente vulnerabilidades conocidas de un día. Monitorice comportamientos anómalos de DNS—especialmente consultas inesperadas dirigidas a resolutores públicos—junto con el uso inusual de comandos BusyBox y la aparición de binarios desconocidos dentro de directorios ocultos. Donde sea aplicable, despliegue protecciones de punto final y de red capaces de detectar las firmas referidas de ClamAV y Snort SID 65124, y asegúrese de que las alertas estén conectadas a los flujos de trabajo de SOC.
Respuesta
Si se identifica actividad sospechosa, aísle el dispositivo afectado, capture imágenes de memoria volátil y de disco, y bloquee inmediatamente cualquier dominio o dirección IP de C2 confirmados. Realice análisis forenses dirigidos en el directorio .pkgdb, artefactos de configuración /tmp, y cualquier evidencia de shells inversos generados. Restablezca las credenciales comprometidas, rote las claves SSH, y valide que no queden nodos ORB operativos dentro del entorno.
Flujo de Ataque
Detecciones
Actividad Posible Maliciosa de Busybox (GTFOBin) Generando Shell del Sistema (vía linea de comandos)
Ver
Sistema Linux Sospechoso O Binario Conocido Ejecutado Desde Ruta Inusual (vía linea de comandos)
Ver
Archivo Oculto Fue Creado en Host Linux (vía evento de archivo)
Ver
IOCs (HashMd5) para detectar: UAT-7290 apunta a infraestructura de telecomunicaciones de alto valor en el sur de Asia
Ver
IOCs (HashSha256) para detectar: UAT-7290 apunta a infraestructura de telecomunicaciones de alto valor en el sur de Asia
Ver
IOCs (HashSha1) para detectar: UAT-7290 apunta a infraestructura de telecomunicaciones de alto valor en el sur de Asia
Ver
Detección de Actividades de Malware UAT-7290 [Creación de Procesos en Linux]
Ver
Ejecución de Simulación
Prerequisito: La Verificación de Prevuelo de Telemetría y Línea Base debe haber pasado.
Razonamiento: Esta sección detalla la ejecución precisa de la técnica (TTP) del adversario diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente las TTPs identificadas y pretender generar la telemetría exacta esperada por la lógica de detección. Los ejemplos abstractos o no relacionados llevarán a un mal diagnóstico.
-
Narrativa de Ataque y Comandos:
-
Ejecución Inicial del Instalador (T1480.002):
El atacante ejecuta elbinario de RushDrop, que, como parte de su carga útil, crea un directorio oculto llamadobinary, which, as part of its payload, creates a hidden directory named.pkgdben el directorio de trabajo actual../RushDrop --install .pkgdb -
Lanzamiento de Componente Privilegiado (T1569):
El instalador luego generaSilentRaidcon un argumentopluginspara cargar módulos maliciosos que establecen persistencia a través de servicios del sistema.sudo ./SilentRaid --load plugins -
Descubrimiento de Red (T1016.001):
Finalmente, el malware recolecta información de enrutamiento para mapear la red interna:cat /proc/net/route
Cuando estos tres fragmentos de línea de comandos aparecen juntos (o los dos primeros juntos con la tercera como alternativa), la condición de la regla Sigma evalúa como verdadera, generando una alerta. and the third as an alternative), the Sigma rule condition evaluates to true, generating an alert.
-
-
Script de Prueba de Regresión:
#!/usr/bin/env bash # # Script de validación de detección de UAT‑7290 # Simula los patrones exactos de la línea de comandos requeridos por la regla Sigma. # set -euo pipefail # 1. Crear un directorio de trabajo temporal WORKDIR=$(mktemp -d) cd "$WORKDIR" # 2. Simular binario de RushDrop echo -e '#!/usr/bin/env bashnecho "RushDrop ejecutado"' > RushDrop chmod +x RushDrop # 3. Ejecutar RushDrop con el argumento .pkgdb (crea la carpeta) ./RushDrop --install .pkgdb mkdir -p .pkgdb # imitar comportamiento del instalador # 4. Simular binario de SilentRaid echo -e '#!/usr/bin/env bashnecho "SilentRaid cargó plugins"' > SilentRaid chmod +x SilentRaid # 5. Ejecutar SilentRaid con argumento plugins (requiere sudo para realismo) sudo ./SilentRaid --load plugins # 6. Comando de descubrimiento de red cat /proc/net/route # 7. Limpieza (opcional – conservar para inspección manual si es necesario) # rm -rf "$WORKDIR" -
Comandos de Limpieza:
# Eliminar el directorio temporal y cualquier artefacto creado durante la prueba sudo rm -rf "$WORKDIR" # Vaciar la cola de auditd para asegurar que no queden eventos residuales sudo auditctl -D # Reiniciar auditd para restaurar las reglas por defecto sudo systemctl restart auditd