Un sofisticado grupo de ciberespionaje vinculado a China ha estado atacando organizaciones gubernamentales en Sudamérica y el sureste de Europa utilizando una creciente colección de malware personalizado y técnicas de intrusión centradas en el sigilo, según una nueva investigación de Cisco Talos .
El cúmulo de amenazas, rastreado como UAT-8302, ha estado activo en Sudamérica al menos desde finales de 2024 y ha ampliado sus operaciones a partes de Europa durante 2025. Los investigadores afirman que la campaña refleja una mayor coordinación entre múltiples grupos de amenaza alineados con China y ecosistemas de malware.
Los investigadores de Cisco Talos observaron cómo los atacantes desplegaban varias familias de malware previamente asociadas con operaciones conocidas de amenazas persistentes avanzadas en China. Entre ellos está NetDraft, también conocido como NosyDoor, un . Backdoor basado en NET diseñado para proporcionar acceso remoto persistente dentro de entornos comprometidos.
El malware está vinculado a una familia más amplia conocida como FinalDraft o SquidDoor, que anteriormente ha estado vinculada a actores de amenazas con el nexo de China rastreados bajo nombres como Jewelbug, REF7707, CL-STA-0049 y LongNosedGoblin.
Los investigadores también identificaron una variante actualizada de la puerta trasera CloudSorcerer, otra cepa de malware centrada en espionaje observada previamente en ataques contra entidades gubernamentales rusas en 2024. La reutilización de herramientas entre campañas sugiere una superposición operativa o colaboración entre múltiples clústeres de ciberespionaje chinos.
Según Talos, los atacantes se centraron principalmente en instituciones gubernamentales, aunque los investigadores no identificaron públicamente a los países o agencias afectadas. La campaña parece centrarse en la recopilación de inteligencia a largo plazo más que en la ciberdelincuencia motivada por motivos económicos.
La operación refleja una tendencia más amplia en la ciberactividad vinculada al Estado chino. Investigadores de seguridad y agencias de inteligencia han advertido repetidamente que los actores amenazantes alineados con China están ampliando las campañas de espionaje a nivel global, dirigiéndose cada vez más a agencias gubernamentales, infraestructuras de telecomunicaciones, contratistas de defensa y operadores de infraestructuras críticas.
A diferencia de los grupos de ransomware que priorizan la interrupción y la extorsión, los grupos de amenazas persistentes avanzados suelen centrarse en el sigilo y la persistencia. Estas operaciones suelen estar diseñadas para permanecer indetectadas dentro de las redes durante largos periodos mientras se recopilan comunicaciones sensibles, credenciales, inteligencia estratégica o información geopolítica.
Cisco Talos señaló que UAT-8302 utiliza malware personalizado combinado con tácticas en evolución para evitar la detección. Según se informa, los atacantes dependen de herramientas modulares capaces de adaptarse a diferentes entornos y requisitos operativos.
Los investigadores también señalaron similitudes en infraestructuras y malware que vinculan la campaña con varios grupos de espionaje chinos previamente documentados. Este tipo de solapamiento es común en operaciones cibernéticas vinculadas a estados, donde familias de malware, componentes de infraestructura y técnicas operativas suelen compartirse entre equipos relacionados.
El objetivo de entidades gubernamentales sudamericanas es especialmente notable porque gran parte de la información pública sobre el ciberespionaje chino se ha centrado históricamente en Norteamérica, Europa y las regiones de Asia-Pacífico. Los analistas afirman que la actividad sugiere ampliar las prioridades de inteligencia geopolítica y ampliar los esfuerzos internacionales de recopilación.
Al mismo tiempo, el sureste de Europa se ha convertido en una región cada vez más activa para operaciones de ciberespionaje que involucran a múltiples actores vinculados a los Estados. Los gobiernos de la región suelen ocupar posiciones estratégicas en relación con la OTAN, la política de la Unión Europea, la infraestructura de telecomunicaciones y los desarrollos políticos regionales.
La campaña también destaca cómo las operaciones cibernéticas chinas continúan evolucionando técnicamente. Informes recientes han documentado grupos de amenaza chinos que utilizan servicios en la nube, dispositivos de consumo secuestrados, botnets centradas en el sigilo y compromisos en la cadena de suministro para reducir riesgos de detección y mantener el acceso a largo plazo a los objetivos.
Los investigadores de seguridad advierten que las campañas modernas de espionaje son cada vez más difíciles de detectar porque los atacantes dependen en gran medida de herramientas legítimas, comunicaciones cifradas e infraestructura cloud de confianza. En muchos casos, las organizaciones pueden permanecer comprometidas durante meses antes de que se identifique la actividad.
La aparición del UAT-8302 se suma a una lista creciente de grupos de amenaza persistente avanzada vinculados a China activos en todo el mundo, incluyendo Volt Typhoon, Hafnium y APT41, todos los cuales anteriormente estaban vinculados a campañas de espionaje dirigidas a gobiernos y sectores críticos.
Investigadores de Cisco Talos afirmaron que la operación sigue activa, con una monitorización continua centrada en identificar víctimas adicionales, infraestructuras y variantes de malware asociadas a la campaña.