Китайская хакерская группа UAT-8302 на протяжении почти года незаметно атакует правительственные учреждения Южной Америки и Европы. Специалисты Cisco Talos выяснили, что злоумышленники используют набор вредоносных инструментов, пересекающийся с арсеналом нескольких известных кибергруппировок. Их главная цель — долгосрочное внедрение в госсети и сохранение контроля над инфраструктурой жертв. Первые вторжения зафиксировали еще в конце 2024-го, а к 2025-му атаки перекинулись на ведомства в Юго-Восточной Европе.
Ключевая находка — бэкдор NetDraft на C#, связанный с семейством FinalDraft (ранее замечен у группировки Jewelbug). Он использует Microsoft Graph и OneDrive как каналы связи с серверами управления, позволяя запускать команды, подгружать модули и закрепляться в системе через скрытые задания в планировщике Windows. Другой инструмент, CloudSorcerer v3, маскируется под обычные процессы и получает команды через GitHub, Dropbox и даже профили на игровых сайтах — там, где их никто не ждет.
Среди прочего арсенала — VSHELL, загрузчики SNOWLIGHT и новая версия SNOWRUST на Rust, которые расшифровывают компоненты и доставляют финальную нагрузку. Для разведки внутри сети UAT-8302 активно применяет PowerShell, Impacket, сканирование SMB-ресурсов и кражу учетных данных из MobaXterm. Атакующие используют китайские утилиты для прокси и VPN-туннелей внутри зараженной сети.
Cisco Talos подчеркивает, что набор инструментов группы пересекается с Earth Estries, Earth Naga и LongNosedGoblin. Аналитики предполагают, что участники кампании либо тесно координируются, либо имеют общую базу вредоносного ПО и инфраструктуры.
UAT-8302 демонстрирует новый уровень скрытности, превращая облачные хранилища и игровые профили в командные центры. Это подтверждает тренд: чем неожиданнее канал управления, тем дольше атака остаётся незамеченной. В ближайшее время стоит ждать копирования этой тактики другими группами.