Een geavanceerde cyberspionagegroep met een Chinese connectie heeft zich gericht op overheidsorganisaties in Zuid-Amerika en Zuidoost-Europa met behulp van een groeiende verzameling op maat gemaakte malware en op stealth gerichte inbraaktechnieken, volgens nieuw onderzoek van Cisco Talos .
De dreigingscluster, getraceerd als UAT-8302, is naar verluidt sinds ten minste eind 2024 actief in Zuid-Amerika en heeft in 2025 zijn activiteiten uitgebreid naar delen van Europa. Onderzoekers zeggen dat de campagne een toenemende coördinatie weerspiegelt tussen meerdere aan China gelieerde dreigingsgroepen en malware-ecosystemen.
Onderzoekers van Cisco Talos zagen dat de aanvallers verschillende malwarefamilies inzetten die eerder geassocieerd waren met bekende Chinese geavanceerde persistente dreigingsoperaties. Daaronder bevindt zich NetDraft, ook wel NosyDoor genoemd, een . NET-gebaseerde backdeur ontworpen om persistente externe toegang te bieden binnen gecompromitteerde omgevingen.
De malware is gekoppeld aan een bredere malwarefamilie genaamd FinalDraft of SquidDoor, die eerder werd gekoppeld aan China-nexus dreigingsactoren die werden gevolgd onder namen als Jewelbug, REF7707, CL-STA-0049 en LongNosedGoblin.
Onderzoekers identificeerden ook een bijgewerkte variant van de CloudSorcerer-backdoor, een andere op spionage gerichte malwarevariant die eerder werd waargenomen bij aanvallen op Russische overheidsinstanties in 2024. Het hergebruik van tools tussen campagnes wijst op operationele overlap of samenwerking tussen meerdere Chinese cyberspionageclusters.
Volgens Talos richtten de aanvallers zich voornamelijk op overheidsinstellingen, hoewel onderzoekers de getroffen landen of instanties niet publiekelijk hebben geïdentificeerd. De campagne lijkt gericht op langdurige inlichtingenverzameling in plaats van op financieel gemotiveerde cybercriminaliteit.
De operatie weerspiegelt een bredere trend in door de Chinese staat gelinkte cyberactiviteit. Veiligheidsonderzoekers en inlichtingendiensten hebben herhaaldelijk gewaarschuwd dat China-gelieerde dreigingsactoren spionagecampagnes wereldwijd uitbreiden, met toenemende doelen op overheidsinstanties, telecommunicatie-infrastructuur, defensieaannemers en exploitanten van kritieke infrastructuur.
In tegenstelling tot ransomwaregroepen die prioriteit geven aan verstoring en afpersing, richten geavanceerde persistent threat groups zich doorgaans op stealth en persistence. Deze operaties zijn vaak zo ontworpen dat ze gedurende langere tijd onopgemerkt blijven binnen netwerken, terwijl ze gevoelige communicatie, inloggegevens, strategische inlichtingen of geopolitieke informatie verzamelen.
Cisco Talos merkte op dat UAT-8302 op maat gemaakte malware gebruikt in combinatie met veranderende tactieken om detectie te vermijden. De aanvallers vertrouwen naar verluidt op modulaire tools die zich kunnen aanpassen aan verschillende omgevingen en operationele vereisten.
Onderzoekers wezen ook op overeenkomsten in infrastructuur en malware die de campagne koppelen aan verschillende eerder gedocumenteerde Chinese spionagegroepen. Dit type overlap komt vaak voor bij state-linked cyberoperaties, waar malwarefamilies, infrastructuurcomponenten en operationele technieken vaak worden gedeeld tussen gerelateerde teams.
De doelgerichtheid van Zuid-Amerikaanse overheidsinstanties is bijzonder opmerkelijk omdat veel publieke berichtgeving over Chinese cyberspionage historisch gezien zich heeft gericht op Noord-Amerika, Europa en de regio’s Azië-Pacific. Analisten zeggen dat de activiteit wijst op het uitbreiden van geopolitieke inlichtingenprioriteiten en bredere internationale verzamelingsinspanningen.
Tegelijkertijd is Zuidoost-Europa een steeds actievere regio geworden voor cyberspionageoperaties waarbij meerdere staatsgebonden actoren betrokken zijn. Regeringen in de regio nemen vaak strategische posities in met betrekking tot de NAVO, het beleid van de Europese Unie, telecommunicatie-infrastructuur en regionale politieke ontwikkelingen.
De campagne benadrukt ook hoe Chinese cyberoperaties zich technisch blijven ontwikkelen. Recente rapporten hebben Chinese dreigingsgroepen gedocumenteerd die clouddiensten gebruiken, consumentenapparaten gekaapt, op stealth gerichte botnets en toeleveringsketencompromittaties gebruiken om detectierisico’s te verminderen en langdurige toegang tot doelwitten te behouden.
Beveiligingsonderzoekers waarschuwen dat moderne spionagecampagnes steeds moeilijker te detecteren zijn omdat aanvallers sterk vertrouwen op legitieme tools, versleutelde communicatie en vertrouwde cloudinfrastructuur. In veel gevallen kunnen organisaties maandenlang gecompromitteerd blijven voordat er activiteit wordt vastgesteld.
De opkomst van UAT-8302 voegt zich toe aan een groeiende lijst van aan China gekoppelde geavanceerde persistente dreigingsgroepen die wereldwijd actief zijn, waaronder Volt Typhoon, Hafnium en APT41, die allemaal eerder in verband zijn gebracht met spionagecampagnes gericht op overheden en kritieke sectoren.
Cisco Talos-onderzoekers zeiden dat de operatie actief blijft, met voortdurende monitoring gericht op het identificeren van extra slachtoffers, infrastructuur en malwarevarianten die met de campagne geassocieerd zijn.