Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Cisco Talos ha vinculado un grupo APT con nexos en China, rastreado como UAT-8302, a ataques contra organizaciones gubernamentales en América del Sur desde finales de 2024 y en el sureste de Europa a lo largo de 2025. El grupo despliega un amplio conjunto de herramientas de malware que incluye NetDraft, CloudSorcerer v3, VSHELL, SNOWLIGHT, SNOWRUST y componentes personalizados adicionales. Sus operaciones también dependen de herramientas de código abierto como Impacket, utilidades de proxy y scripts personalizados para apoyar el reconocimiento, el robo de credenciales y el movimiento lateral en los entornos de las víctimas.
Investigación
Talos documentó la cadena de entrega de malware del grupo, su uso de tareas programadas para la persistencia y su abuso de servicios de confianza como Microsoft Graph para el comando y control. Los investigadores también observaron cargadores DLL de carga lateral, comandos de reconocimiento, utilidades de escaneo de red e infraestructura dedicada a la entrega de payloads y al acceso remoto. El informe también indicó superposiciones en el uso de herramientas y técnicas con otros grupos vinculados a China, incluyendo Jewelbug, Earth Estries y varios grupos rastreados por UNC.
Mitigación
Las organizaciones deben parchear las vulnerabilidades mencionadas, incluyendo CVE-2025-0994, CVE-2025-20333, y CVE-2025-20362, y aplicar controles estrictos a las APIs de Office 365 y OneDrive que podrían ser abusadas para el comando y control. Los defensores también deben bloquear los dominios maliciosos conocidos y las direcciones IP, deshabilitar servicios innecesarios y restringir herramientas de ejecución remota como Impacket y WMI siempre que sea posible. El monitoreo debe centrarse en los nombres de tareas programadas identificados y en los patrones de carga lateral de DLL asociados con la campaña.
Respuesta
Los equipos de seguridad deben alertar sobre los indicadores de compromiso listados, aislar los sistemas afectados y recopilar los registros relevantes y artefactos forenses para su análisis. Las credenciales deben rotarse rápidamente y el Active Directory debe revisarse cuidadosamente en busca de signos de compromiso o acceso no autorizado. El contenido de detección también debe actualizarse para cubrir las líneas de comandos observadas y las tareas programadas, mientras los defensores buscan implantes adicionales de las mismas familias de malware en todo el entorno.
"graph TB %% Definiciones de clases classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#cccccc classDef operator fill:#ff9900 %% Acceso Inicial initial_access["<b>Acción</b> – <b>T1190 Explotar Aplicación Expuesta al Público</b><br/><b>Descripción</b>: Explotar un servicio expuesto a internet vulnerable para obtener el acceso inicial."] class initial_access action vuln_app["<b>Herramienta</b> – <b>Nombre</b>: Cityworks (vulnerable)<br/><b>Descripción</b>: Aplicación expuesta al público que contiene CVEu20112025u20110994."] class vuln_app tool %% Ejecución – Proxy de Binario del Sistema exec_proxy["<b>Acción</b> – <b>T1218.002 Ejecución de Proxy de Binario del Sistema</b><br/><b>Descripción</b>: Abusar de binarios del sistema confiables para ejecutar código malicioso a través de un proxy."] class exec_proxy action control_panel["<b>Herramienta</b> – <b>Nombre</b>: Panel de Control<br/><b>Descripción</b>: Binario legítimo usado como proxy."] class control_panel tool %% Ejecución – Proxy de Utilidades de Desarrollador Confiable (MSBuild) exec_msbuild["<b>Acción</b> – <b>T1127.001 Ejecución de Proxy de Utilidades de Desarrollador Confiable</b><br/><b>Descripción</b>: Usar MSBuild para cargar DLLs maliciosos a través de carga lateral."] class exec_msbuild action msbuild["<b>Herramienta</b> – <b>Nombre</b>: MSBuild<br/><b>Descripción</b>: Motor de compilación de Microsoft usado para ejecutar archivos de proyecto."] class msbuild tool %% Ejecución – Módulos Compartidos (Carga Lateral de DLLs) exec_shared["<b>Acción</b> – <b>T1129 Módulos Compartidos</b><br/><b>Descripción</b>: Cargar DLLs maliciosos colocándolos junto a ejecutables benignos."] class exec_shared action yandex_exe["<b>Herramienta</b> – <b>Nombre</b>: Yandex.exe<br/><b>Descripción</b>: Ejecutable legítimo usado como dropper."] class yandex_exe tool vmtools_exe["<b>Herramienta</b> – <b>Nombre</b>: VMtools.exe<br/><b>Descripción</b>: Binario de herramientas de VMware utilizado para carga lateral."] class vmtools_exe tool malware_nedraft["<b>Malware</b> – <b>Nombre</b>: NetDraft"] class malware_nedraft malware malware_cloudsorcerer["<b>Malware</b> – <b>Nombre</b>: CloudSorcerer"] class malware_cloudsorcerer malware malware_vshell["<b>Malware</b> – <b>Nombre</b>: VSHELL"] class malware_vshell malware %% Persistencia – Tarea Programada persistence_task["<b>Acción</b> – <b>T1053 Tarea/Trabajo Programado</b><br/><b>Descripción</b>: Crear tareas programadas para ejecutar binarios maliciosos de forma persistente."] class persistence_task action scheduled_task["<b>Herramienta</b> – <b>Nombre</b>: MicrosoftMaps{…}<br/><b>Descripción</b>: Tarea programada utilizada para la persistencia."] class scheduled_task tool %% Evasión de Defensa – Explotación para Evasión defev_evasion["<b>Acción</b> – <b>T1211 Explotación para Evasión de Defensa</b><br/><b>Descripción</b>: Aprovechar vulnerabilidades para eludir controles de seguridad."] class defev_evasion action %% Evasión de Defensa – Subvertir Controles de Confianza (Firma de Código) defev_signing["<b>Acción</b> – <b>T1553.006 Subvertir Controles de Confianza</b><br/><b>Descripción</b>: Modificar políticas de firma de código para confiar en binarios maliciosos."] class defev_signing action %% Evasión de Defensa – Preu2011OS Boot (ROMMONkit) defev_rommon["<b>Acción</b> – <b>T1542.004 Preu2011OS Boot: ROMMONkit</b><br/><b>Descripción</b>: Instalar controlador malicioso durante el arranque del firmware."] class defev_rommon action rommon_driver["<b>Herramienta</b> – <b>Nombre</b>: Controlador Hades HIPS"] class rommon_driver tool %% Descubrimiento – Cuenta y Grupo discovery_account["<b>Acción</b> – <b>T1087.002 Descubrimiento de Cuenta: Cuenta de Dominio</b><br/><b>Descripción</b>: Enumerar cuentas de usuario de dominio."] class discovery_account action discovery_groups["<b>Acción</b> – <b>T1069.002 Descubrimiento de Grupos de Permisos: Grupos de Dominio</b><br/><b>Descripción</b>: Enumerar grupos de dominio."] class discovery_groups action %% Descubrimiento – Red discovery_netconn["<b>Acción</b> – <b>T1049 Descubrimiento de Conexiones de Red del Sistema</b><br/><b>Descripción</b>: Identificar conexiones de red activas."] class discovery_netconn action discovery_remotes["<b>Acción</b> – <b>T1018 Descubrimiento de Sistema Remoto</b><br/><b>Descripción</b>: Encontrar sistemas remotos en la red."] class discovery_remotes action discovery_scanning["<b>Acción</b> – <b>T1595.001 Escaneo Activo: Escaneo de Bloques IP</b><br/><b>Descripción</b>: Escanear rangos de IP para anfitriones activos."] class discovery_scanning action discovery_netconfig["<b>Acción</b> – <b>T1016.001 Descubrimiento de Configuración de Red del Sistema: Descubrimiento de Conexión a Internet</b><br/><b>Descripción</b>: Recoger detalles de configuración de red."] class discovery_netconfig action discovery_cloud["<b>Acción</b> – <b>T1526 Descubrimiento de Servicios en la Nube</b><br/><b>Descripción</b>: Identificar uso de servicios en la nube."] class discovery_cloud action discovery_cfg_repo["<b>Acción</b> – <b>T1602 Datos de Repositorio de Configuración</b><br/><b>Descripción</b>: Descargar configuración de dispositivos de red a través de SNMP MIB."] class discovery_cfg_repo action %% Movimiento Lateral – Explotación de Servicios Remotos lateral_wmi["<b>Acción</b> – <b>T1210 Explotación de Servicios Remotos</b><br/><b>Descripción</b>: Usar WMI o SMB para ejecutar código en hosts remotos."] class lateral_wmi action lateral_smb["<b>Acción</b> – <b>T1021.002 Servicios Remotos: SMB/Comparticiones de Administración de Windows</b><br/><b>Descripción</b>: Acceder a comparticiones de administración para movimiento lateral."] class lateral_smb action lateral_transfer["<b>Acción</b> – <b>T1570 Transferencia de Herramienta Lateral</b><br/><b>Descripción</b>: Transferir herramientas a sistemas remotos."] class lateral_transfer action lateral_taint["<b>Acción</b> – <b>T1080 Contaminación de Contenido Compartido</b><br/><b>Descripción</b>: Envenenar archivos compartidos para propagar malware."] class lateral_taint action lateral_cloud["<b>Acción</b> – <b>T1021.007 Servicios Remotos: Servicios en la Nube</b><br/><b>Descripción</b>: Usar OneDrive o GitHub para movimiento lateral."] class lateral_cloud action lateral_rats["<b>Acción</b> – <b>T1219 Herramientas de Acceso Remoto</b><br/><b>Descripción</b>: Desplegar herramientas como gogo, httpx, SNOWRUST."] class lateral_rats action tool_gogo["<b>Herramienta</b> – <b>Nombre</b>: gogo"] class tool_gogo tool tool_httpx["<b>Herramienta</b> – <b>Nombre</b>: httpx"] class tool_httpx tool tool_snowrust["<b>Herramienta</b> – <b>Nombre</b>: SNOWRUST"] class tool_snowrust tool %% Escalamiento de Privilegios – Manipulación de Cuenta priv_esc["<b>Acción</b> – <b>T1098.007 Manipulación de Cuenta: Grupos Locales o de Dominio Adicionales</b><br/><b>Descripción</b>: Agregar cuentas comprometidas a grupos privilegiados."] class priv_esc action %% Comando y Control – Proxy (multiu2011hop) c2_proxy["<b>Acción</b> – <b>T1090 Proxy</b><br/><b>Descripción</b>: Enrutar el tráfico a través de proxies internos, externos y multiu2011hop."] class c2_proxy action c2_proxy_int["<b>Herramienta</b> – <b>Nombre</b>: Proxy Interno"] class c2_proxy_int tool c2_proxy_ext["<b>Herramienta</b> – <b>Nombre</b>: Proxy Externo"] class c2_proxy_ext tool %% Comando y Control – Túnel de Protocolo c2_tunnel["<b>Acción</b> – <b>T1572 Túnel de Protocolo</b><br/><b>Descripción</b>: Encapsular tráfico de C2 dentro de protocolos permitidos."] class c2_tunnel action %% Comando y Control – API de Nube c2_cloudapi["<b>Acción</b> – <b>T1059.009 Comando e Intérprete de Script: API de Nube</b><br/><b>Descripción</b>: Usar APIs de OneDrive, GitHub, GameSpot para C2."] class c2_cloudapi action c2_onedrive["<b>Herramienta</b> – <b>Nombre</b>: OneDrive"] class c2_onedrive tool c2_github["<b>Herramienta</b> – <b>Nombre</b>: GitHub"] class c2_github tool c2_gamespot["<b>Herramienta</b> – <b>Nombre</b>: GameSpot"] class c2_gamespot tool %% Comando y Control – Protocolos Web c2_web["<b>Acción</b> – <b>T1071.001 Protocolo de Capa de Aplicación: Protocolos Web</b><br/><b>Descripción</b>: Comunicarse sobre HTTP/HTTPS."] class c2_web action %% Comando y Control – Canales Multiu2011etapa c2_multi["<b>Acción</b> – <b>T1104 Canales Multiu2011etapa</b><br/><b>Descripción</b>: Encadenar múltiples canales de C2 para resiliencia."] class c2_multi action %% Exfiltración – Sobre Servicio Web exfil_web["<b>Acción</b> – <b>T1567.002 Exfiltración sobre Servicio Web</b><br/><b>Descripción</b>: Subir datos robados a servicios de almacenamiento en la nube."] class exfil_web action %% Conexiones – Flujo de Ataque initial_access –>|explota| vuln_app vuln_app –>|habilita| exec_proxy exec_proxy –>|usa| control_panel exec_proxy –>|lleva_a| exec_msbuild exec_msbuild –>|usa| msbuild exec_msbuild –>|facilita| exec_shared exec_shared –>|aprovecha| yandex_exe exec_shared –>|aprovecha| vmtools_exe exec_shared –>|carga| malware_nedraft exec_shared –>|carga| malware_cloudsorcerer exec_shared –>|carga| malware_vshell exec_shared –>|crea| persistence_task persistence_task –>|crea| scheduled_task scheduled_task –>|mantiene| defev_evasion defev_evasion –>|incluye| defev_signing defev_signing –>|modifica| rommon_driver defev_evasion –>|incluye| defev_rommon defev_rommon –>|instala| rommon_driver %% Flujo de Descubrimiento scheduled_task –>|recopila| discovery_account scheduled_task –>|recopila| discovery_groups scheduled_task –>|recopila| discovery_netconn scheduled_task –>|recopila| discovery_remotes scheduled_task –>|recopila| discovery_scanning scheduled_task –>|recopila| discovery_netconfig scheduled_task –>|recopila| discovery_cloud scheduled_task –>|recopila| discovery_cfg_repo %% Flujo de Movimiento Lateral discovery_remotes –>|habilita| lateral_wmi lateral_wmi –>|usa| lateral_smb lateral_smb –>|transfiere| lateral_transfer lateral_transfer –>|mueve| lateral_cloud lateral_cloud –>|usa| c2_onedrive lateral_cloud –>|usa| c2_github lateral_cloud –>|usa| c2_gamespot lateral_wmi –>|ejecuta| lateral_rats lateral_rats –>|usa| tool_gogo lateral_rats –>|usa| tool_httpx lateral_rats –>|usa| tool_snowrust %% Flujo de Escalamiento de Privilegios discovery_groups –>|soporta| priv_esc %% Flujo de Comando y Control priv_esc –>|reporta a| c2_proxy c2_proxy –>|enruta a través de| c2_proxy_int c2_proxy –>|enruta a través de| c2_proxy_ext c2_proxy –>|usa| c2_tunnel c2_tunnel –>|establece| c2_cloudapi c2_cloudapi –>|se comunica vía| c2_onedrive c2_cloudapi –>|se comunica vía| c2_github c2_cloudapi –>|se comunica vía| c2_gamespot c2_cloudapi –>|usa| c2_web c2_web –>|habilita| c2_multi c2_multi –>|entrega| exfil_web %% Estilos class initial_access,exec_proxy,exec_msbuild,exec_shared,persistence_task,defev_evasion,defev_signing,defev_rommon,discovery_account,discovery_groups,discovery_netconn,discovery_remotes,discovery_scanning,discovery_netconfig,discovery_cloud,discovery_cfg_repo,lateral_wmi,lateral_smb,lateral_transfer,lateral_taint,lateral_cloud,lateral_rats,priv_esc,c2_proxy,c2_tunnel,c2_cloudapi,c2_web,c2_multi,exfil_web action class vuln_app,control_panel,msbuild,yandex_exe,vmtools_exe,malware_nedraft,malware_cloudsorcerer,malware_vshell,scheduled_task,rommon_driver,tool_gogo,tool_httpx,tool_snowrust,tool_gogo,tool_httpx,tool_snowrust,c2_proxy_int,c2_proxy_ext,c2_onedrive,c2_github,c2_gamespot tool class rommon_driver malware "
Flujo de Ataque
Detecciones
Uso sospechoso de CURL (vía cmdline)
Ver
Posible abuso de dominio de desarrollo de Cloudflare (vía dns)
Ver
Posibles patrones de línea de comando de Impacket (vía cmdline)
Ver
Posible uso de herramientas de Sysinternals (vía cmdline)
Ver
PowerShell ejecutando archivo en directorio sospechoso usando política de ejecución de bypass (vía cmdline)
Ver
Posible enumeración del sistema (vía cmdline)
Ver
Posible descubrimiento de sistema remoto o verificación de conectividad (vía cmdline)
Ver
Posible enumeración de cuentas de administrador o grupo (vía cmdline)
Ver
Descubrimiento sospechoso de confianzas de dominio (vía cmdline)
Ver
Posible descubrimiento de configuración de red del sistema (vía cmdline)
Ver
Schtasks apunta a directorio/binario/script sospechoso (vía cmdline)
Ver
LOLBAS wmic (vía cmdline)
Ver
Usando Certutil para codificación de datos y operaciones de certificado (vía cmdline)
Ver
Ejecución sospechosa desde perfil de usuario público (vía process_creation)
Ver
Posible recolección de datos [7zip] (vía cmdline)
Ver
Archivos sospechosos en el perfil de usuario público (vía file_event)
Ver
Descarga de archivo sospechosa directa desde IP (vía proxy)
Ver
IOC (HashSha256) para detectar: UAT-8302 y su caja llena de malware
Ver
IOC (SourceIP) para detectar: UAT-8302 y su caja llena de malware
Ver
IOC (DestinationIP) para detectar: UAT-8302 y su caja llena de malware
Ver
Creación de Tarea Programada y Proceso WMIC por UAT-8302 [Creación de Proceso de Windows]
Ver
Detectar actividad de reconocimiento de PowerShell de UAT-8302 [Windows PowerShell]
Ver
Ejecución de Simulación
Prerequisito: La verificación previa de telemetría y línea de base debe haber pasado.
Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y tienen como objetivo generar la telemetría exacta que espera el logic de detección.
-
Narrativa del Ataque y Comandos:
Un adversario que ha obtenido un punto de apoyo en un host de Windows unido a un dominio desea realizar un reconocimiento rápido de Active Directory y registros de seguridad, reflejando el libro de jugadas conocido de UAT-8302. Para evitar la detección, el atacante primero deshabilita la transcripción de PowerShell y luego emite las tres líneas de comando exactas que la regla Sigma está sintonizada para capturar:- Desplegar un script temporal (
whatpc.ps1) en la carpeta Temp y ejecutarlo con una política de ejecución anulada. - Enumerar todos los usuarios de AD y propiedades seleccionadas en una única canalización.
- Listar la configuración del registro de eventos de seguridad para evaluar qué se puede leer o borrar más adelante.
Estos comandos generan eventos operativos de PowerShell (EventID 4104) cuyos
CommandLinecampos coinciden con los ‘selección1-3’ de la regla, por lo tanto, debe producirse una alerta. - Desplegar un script temporal (
-
Script de Prueba de Regresión:
# ------------------------------------------------- # Script de Simulación de Reconocimiento UAT-8302 # ------------------------------------------------- # 1. Desplegar y ejecutar un script ficticio (whatpc.ps1) $scriptPath = "$env:windirTempwhatpc.ps1" Set-Content -Path $scriptPath -Value '# Script ficticio para pruebas de detección' -Encoding ASCII powershell -ExecutionPolicy Bypass -WindowStyle Hidden -File $scriptPath # 2. Enumeración de usuarios de AD (requiere módulo AD de RSAT) powershell -Command "Get-ADUser -Filter * -Property * | Select-Object Name, DisplayName, LastLogonDate, PasswordLastSet, PasswordExpired, Description, EmailAddress, homeDirectory, scriptPath" # 3. Enumeración del registro de seguridad powershell -Command "Get-WinEvent -ListLog Security | Format-List LogName, FileSize, LogMode, MaximumSizeInBytes, RecordCount" # ------------------------------------------------- -
Comandos de Limpieza:
# Quitar el script temporal Remove-Item -Path "$env:windirTempwhatpc.ps1" -Force # Borrar opcionalmente el historial de sesión de PowerShell (si se ha preservado) Clear-History