2026-05-05 00:00
← VoltarUm sofisticado grupo de ameaças persistentes avançadas (APT) China-nexus foi atribuído a ataques direcionados a entidades governamentais na América do Sul desde pelo menos o final de 2024 e a agências governamentais no sudeste da Europa em 2025. A atividade está sendo rastreada pela Cisco Talos sob o apelido UAT-8302, com pós-exploração envolvendo a implantação de famílias de malware personalizadas que foram utilizadas por outros grupos de hackers alinhados à China. Notável entre as famílias de malware é um backdoor baseado em .NET chamado NetDraft (também conhecido como NosyDoor), uma variante C# do FINALDRAFT (também conhecido como Squidoor) que foi anteriormente vinculado a clusters de ameaças conhecidos comoInk Dragon,CL-STA-0049, Earth Alux,Jewelbug eREF7707. A ESET está rastreando o uso do NosyDoor para um grupo chamado LongNosedGoblin. Curiosamente, o mesmo malware também foi implantado contra organizações de TI russas por um ator de ameaça conhecido como Erudite Mogwai (também conhecido como Space Pirates e Webworm), pela empresa russa de segurança cibernética Solar, que lhe deu o nome de LuckyStrike Agent. Algumas das outras ferramentas utilizadas pelo UAT-8302 são as seguintes: “O malware implantado pelo UAT-8302 o conecta a vários clusters de ameaças previamente divulgados publicamente, indicando, no mínimo, uma estreita relação operacional entre eles”, disseram os pesquisadores do Talos Jungsoo An, Asheer Malhotra e Brandon White em um relatório técnico publicado...
Um sofisticado grupo de ameaças persistentes avançadas (APT) China-nexus foi atribuído a ataques direcionados a entidades governamentais na América do Sul desde pelo menos o final de 2024 e a agências governamentais no sudeste da Europa em 2025. A atividade está sendo rastreada pela Cisco Talos sob o apelido UAT-8302, com pós-exploração envolvendo a implantação de famílias de malware personalizadas que foram utilizadas por outros grupos de hackers alinhados à China. Notável entre as famílias de malware é um backdoor baseado em .NET chamado NetDraft (também conhecido como NosyDoor), uma variante C# do FINALDRAFT (também conhecido como Squidoor) que foi anteriormente vinculado a clusters de ameaças conhecidos comoInk Dragon,CL-STA-0049, Earth Alux,Jewelbug eREF7707. A ESET está rastreando o uso do NosyDoor para um grupo chamado LongNosedGoblin. Curiosamente, o mesmo malware também foi implantado contra organizações de TI russas por um ator de ameaça conhecido como Erudite Mogwai (também conhecido como Space Pirates e Webworm), pela empresa russa de segurança cibernética Solar, que lhe deu o nome de LuckyStrike Agent. Algumas das outras ferramentas utilizadas pelo UAT-8302 são as seguintes: “O malware implantado pelo UAT-8302 o conecta a vários clusters de ameaças previamente divulgados publicamente, indicando, no mínimo, uma estreita relação operacional entre eles”, disseram os pesquisadores do Talos Jungsoo An, Asheer Malhotra e Brandon White em um relatório técnico publicado hoje. “No geral, os vários artefatos maliciosos implantados pelo UAT-8302 indicam que o grupo tem acesso a ferramentas usadas por outros atores sofisticados de APT, todos avaliados como nexo com a China ou de língua chinesa por vários relatórios da indústria de terceiros”. Atualmente não se sabe quais métodos de acesso inicial o adversário emprega para invadir redes alvo, mas suspeita-se que envolva a abordagem testada e comprovada de armar explorações de dia zero e de dia N em aplicações web.
Ao se firmarem, sabe-se que os invasores realizam amplo reconhecimento para mapear a rede, executam ferramentas de código aberto como o gogo para realizar varreduras automatizadas e se movem lateralmente pelo ambiente. As cadeias de ataque culminam na implantação do NetDraft, CloudSorcerer (versão 3.0) e VShell. UAT-8302 também foi observado usando uma variante do SNOWLIGHT baseada em Rust chamada SNOWRUST para baixar a carga útil do VShell de um servidor remoto e executá-la. Além de usar malware personalizado, o agente da ameaça configura meios alternativos de acesso backdoor usando ferramentas de proxy e VPN como Stowaway e SoftEther VPN. As conclusões sublinham a tendência de tácticas avançadas de colaboração entre vários grupos alinhados com a China. Em outubro de 2025, a Trend Micro lançou luz sobre um fenômeno chamado “Premier Pass-as-a-Service”, onde o acesso inicial obtido por Earth Estries é passado para Earth Naga para exploração subsequente, obscurecendo os esforços de atrito. Estima-se que esta parceria exista pelo menos desde o final de 2023. “O Premier Pass-as-a-Service fornece acesso direto a ativos críticos, reduzindo o tempo gasto em reconhecimento, exploração inicial e fases de movimento lateral”, disse a Trend Micro.
"Embora a extensão total deste modelo ainda não seja conhecida, o número limitado de incidentes observados, combinado com o risco substancial de exposição que tal serviço acarreta, sugere que o acesso é provavelmente restrito a um pequeno círculo de atores de ameaças." Aprenda como impedir ataques do paciente zero antes que eles ignorem a detecção e comprometam seus sistemas nos pontos de entrada. Aprenda como validar caminhos de ataque reais e reduzir riscos exploráveis com validação contínua de segurança de agente. Receba as últimas notícias, insights de especialistas, recursos exclusivos e estratégias de líderes do setor, tudo gratuitamente.