Eine ausgeklügelte, mit China verbundene Cyber-Spionagegruppe hat laut neuer Studie von Cisco Talos … Regierungsorganisationen in Südamerika und Südosteuropa mit einer wachsenden Sammlung maßgeschneiderter Malware und stealth-fokussierter Eindringtechniken ins Visier genommen.
Der Bedrohungscluster, der als UAT-8302 verfolgt wird, ist Berichten zufolge seit mindestens Ende 2024 in Südamerika aktiv und hat seine Aktivitäten 2025 auf Teile Europas ausgeweitet. Forscher sagen, dass die Kampagne eine verstärkte Koordination zwischen mehreren China-nahen Bedrohungsgruppen und Malware-Ökosystemen widerspiegelt.
Cisco Talos-Forscher beobachteten, wie die Angreifer mehrere Malware-Familien einsetzten, die zuvor mit bekannten chinesischen fortschrittlichen persistenten Bedrohungsoperationen in Verbindung gebracht wurden. Dazu gehört NetDraft, auch bekannt als NosyDoor, ein . NET-basierte Backdoor, die darauf ausgelegt ist, dauerhaften Fernzugriff in kompromittierten Umgebungen zu ermöglichen.
Die Malware ist mit einer breiteren Malware-Familie namens FinalDraft oder SquidDoor verbunden, die zuvor mit China-nexus-Bedrohungsakteuren verbunden war, die unter Namen wie Jewelbug, REF7707, CL-STA-0049 und LongNosedGoblin verfolgt wurden.
Forscher identifizierten außerdem eine aktualisierte Variante der CloudSorcerer-Backdoor, eine weitere auf Spionage spezialisierte Malware-Variante, die bereits 2024 bei Angriffen auf russische Regierungsstellen beobachtet wurde. Die Wiederverwendung von Werkzeugen über Kampagnen hinweg deutet auf operative Überschneidungen oder Zusammenarbeit zwischen mehreren chinesischen Cyber-Spionageclustern hin.
Laut Talos konzentrierten sich die Angreifer hauptsächlich auf Regierungsinstitutionen, obwohl die Forscher die betroffenen Länder oder Behörden nicht öffentlich nannten. Die Kampagne scheint sich eher auf langfristige Informationsbeschaffung als auf finanziell motivierte Cyberkriminalität zu konzentrieren.
Die Operation spiegelt einen breiteren Trend in der staatlich verbundenen chinesischen Cyberaktivität wider. Sicherheitsforscher und Geheimdienste haben wiederholt gewarnt, dass China-nahe Bedrohungsakteure Spionagekampagnen weltweit ausweiten und zunehmend Regierungsbehörden, Telekommunikationsinfrastruktur, Rüstungsunternehmen und Betreiber kritischer Infrastruktur ins Visier nehmen.
Im Gegensatz zu Ransomware-Gruppen, die Störungen und Erpressung priorisieren, konzentrieren sich fortgeschrittene persistente Bedrohungsgruppen im Allgemeinen auf Tarnung und Persistenz. Diese Operationen sind oft so konzipiert, dass sie über längere Zeiträume in Netzwerken unentdeckt bleiben, während sensible Kommunikation, Zugangsdaten, strategische Informationen oder geopolitische Informationen gesammelt werden.
Cisco Talos stellte fest, dass UAT-8302 maßgeschneiderte Malware in Kombination mit sich entwickelnden Taktiken verwendet, um nicht entdeckt zu werden. Berichten zufolge verlassen sich die Angreifer auf modulare Werkzeuge, die sich an unterschiedliche Umgebungen und betriebliche Anforderungen anpassen können.
Forscher wiesen außerdem auf Ähnlichkeiten zwischen Infrastruktur und Malware hin, die die Kampagne mit mehreren zuvor dokumentierten chinesischen Spionagegruppen in Verbindung bringen. Diese Art von Überschneidung ist häufig bei zustandsgebundenen Cyberoperationen, wo Malware-Familien, Infrastrukturkomponenten und operative Techniken häufig zwischen verwandten Teams geteilt werden.
Die Zielerfassung südamerikanischer Regierungsstellen ist besonders bemerkenswert, da sich viele öffentliche Berichterstattungen über chinesische Cyberspionage historisch auf Nordamerika, Europa und die Asien-Pazifik-Regionen konzentrierten. Analysten sagen, dass die Aktivität auf eine Ausweitung der geopolitischen Geheimdienstprioritäten und umfassendere internationale Sammelbemühungen hindeutet.
Gleichzeitig ist Südosteuropa zu einer zunehmend aktiven Region für Cyber-Spionageoperationen geworden, an denen mehrere staatlich verbundene Akteure beteiligt sind. Regierungen in der Region nehmen häufig strategische Positionen in Bezug auf NATO, EU-Politik, Telekommunikationsinfrastruktur und regionale politische Entwicklungen ein.
Die Kampagne hebt außerdem hervor, wie sich chinesische Cyberoperationen technisch weiterentwickeln. Jüngste Berichte haben dokumentiert, dass chinesische Bedrohungsgruppen Cloud-Dienste, entführte Endgeräte, stealth-orientierte Botnetze und Kompromittierungen in der Lieferkette nutzen, um Erkennungsrisiken zu verringern und langfristigen Zugang zu Zielen zu erhalten.
Sicherheitsforscher warnen, dass moderne Spionagekampagnen zunehmend schwer zu erkennen sind, da Angreifer stark auf legitime Werkzeuge, verschlüsselte Kommunikation und vertrauenswürdige Cloud-Infrastruktur angewiesen sind. In vielen Fällen bleiben Organisationen monatelang kompromittiert, bevor Aktivitäten festgestellt werden.
Das Auftauchen von UAT-8302 fügt sich einer wachsenden Liste von China-verbundenen fortschrittlichen persistenten Bedrohungsgruppen hinzu, die weltweit aktiv sind, darunter Volt Typhoon, Hafnium und APT41, die alle zuvor mit Spionagekampagnen gegen Regierungen und kritische Sektoren in Verbindung standen.
Cisco Talos-Forscher sagten, dass die Operation weiterhin aktiv ist und die laufende Überwachung darauf abzielt, weitere Opfer, Infrastruktur und mit der Kampagne verbundene Malware-Varianten zu identifizieren.