Un sofisticato gruppo di cyberspionaggio collegato alla Cina ha preso di mira organizzazioni governative in Sud America e Sud-est Europa utilizzando una crescente collezione di malware personalizzati e tecniche di intrusione focalizzate sulla furtività, secondo una nuova ricerca di Cisco Talos .
Il cluster di minacce, tracciato come UAT-8302, sarebbe stato attivo in Sud America almeno dalla fine del 2024 e avrebbe ampliato le operazioni in alcune parti d’Europa durante il 2025. I ricercatori affermano che la campagna riflette un crescente coordinamento tra molteplici gruppi di minaccia allineati alla Cina e ecosistemi malware.
I ricercatori di Cisco Talos hanno osservato gli attaccanti mentre dispiegavano diverse famiglie di malware precedentemente associate a operazioni di minacce persistenti avanzate in Cina conosciute. Tra questi c’è NetDraft, noto anche come NosyDoor, un . Backdoor basato su NET progettato per fornire accesso remoto persistente all’interno di ambienti compromessi.
Il malware è collegato a una famiglia più ampia nota come FinalDraft o SquidDoor, che in precedenza è stata legata ad attori minacciosi del nexo Cina tracciati con nomi come Jewelbug, REF7707, CL-STA-0049 e LongNosedGoblin.
I ricercatori hanno anche identificato una variante aggiornata della backdoor CloudSorcerer, un altro ceppo di malware focalizzato sullo spionaggio osservato in precedenza in attacchi contro enti governativi russi nel 2024. Il riutilizzo degli strumenti tra le campagne suggerisce una sovrapposizione operativa o collaborazione tra molteplici cluster cinesi di spionaggio informatico.
Secondo Talos, gli aggressori si sono concentrati principalmente sulle istituzioni governative, anche se i ricercatori non hanno identificato pubblicamente i paesi o le agenzie colpite. La campagna sembra incentrata sulla raccolta di informazioni a lungo termine piuttosto che sulla criminalità informatica motivata finanziariamente.
L’operazione riflette una tendenza più ampia nell’attività informatica legata allo Stato cinese. I ricercatori della sicurezza e le agenzie di intelligence hanno ripetutamente avvertito che gli attori minacciosi allineati con la Cina stanno espandendo le campagne di spionaggio a livello globale, prendendo di mira sempre più agenzie governative, infrastrutture di telecomunicazioni, appaltatori della difesa e operatori di infrastrutture critiche.
A differenza dei gruppi ransomware che danno priorità alla interruzione e all’estorsione, i gruppi di minaccia persistenti avanzati generalmente si concentrano su stealth e perseveranza. Queste operazioni sono spesso progettate per rimanere non rilevate all’interno delle reti per lunghi periodi, raccogliendo comunicazioni sensibili, credenziali, intelligence strategica o informazioni geopolitiche.
Cisco Talos ha osservato che UAT-8302 utilizza malware personalizzato combinato con tattiche in evoluzione per evitare il rilevamento. Gli attaccanti si affidano a strumenti modulari in grado di adattarsi a diversi ambienti e requisiti operativi.
I ricercatori hanno inoltre evidenziato somiglianze infrastrutturali e malware che collegano la campagna a diversi gruppi di spionaggio cinesi precedentemente documentati. Questo tipo di sovrapposizione è comune nelle operazioni cyber state-linked, dove famiglie di malware, componenti infrastrutturali e tecniche operative sono spesso condivise tra team correlati.
Il targeting di enti governativi sudamericani è particolarmente notevole perché gran parte delle notizie pubbliche sullo spionaggio informatico cinese si sono storicamente concentrate su Nord America, Europa e le regioni Asia-Pacifico. Gli analisti affermano che questa attività suggerisce l’espansione delle priorità di intelligence geopolitica e di più ampie attività internazionali di raccolta dei documenti.
Allo stesso tempo, l’Europa sudorientale è diventata una regione sempre più attiva per operazioni di spionaggio informatico che coinvolgono più attori legati allo Stato. I governi della regione spesso occupano posizioni strategiche in relazione alla NATO, alle politiche dell’Unione Europea, alle infrastrutture di telecomunicazioni e agli sviluppi politici regionali.
La campagna evidenzia anche come le operazioni cibernetiche cinesi continuino a evolversi tecnicamente. Rapporti recenti hanno documentato gruppi di minaccia cinesi che utilizzano servizi cloud, dispositivi consumer dirottati, botnet focalizzate sulla furtività e compromissioni della catena di approvvigionamento per ridurre i rischi di rilevamento e mantenere l’accesso a lungo termine agli obiettivi.
I ricercatori di sicurezza avvertono che le campagne di spionaggio moderne sono sempre più difficili da rilevare perché gli attaccanti fanno forte affidamento su strumenti legittimi, comunicazioni criptate e infrastrutture cloud affidabili. In molti casi, le organizzazioni possono rimanere compromesse per mesi prima che venga identificata l’attività.
L’emergere di UAT-8302 si aggiunge a una lista crescente di gruppi di minaccia persistenti avanzati legati alla Cina attivi in tutto il mondo, tra cui Volt Typhoon, Hafnium e APT41, tutti precedentemente collegati a campagne di spionaggio contro governi e settori critici.
I ricercatori di Cisco Talos hanno dichiarato che l’operazione è ancora attiva, con un monitoraggio continuo focalizzato sull’identificazione di ulteriori vittime, infrastrutture e varianti malware associate alla campagna.