Se ha observado que un actor de amenazas probablemente alineado con China apunta a sectores de infraestructura críticos en América del Norte desde al menos el año pasado.
Cisco Talos, que está rastreando la actividad bajo el nombre UAT-8837lo evaluó como un actor de amenaza persistente avanzada (APT) del nexo con China con una confianza media basada en superposiciones tácticas con otras campañas montadas por actores de amenazas de la región.
La compañía de ciberseguridad señaló que el actor de amenazas tiene «la tarea principal de obtener acceso inicial a organizaciones de alto valor», según las tácticas, técnicas y procedimientos (TTP) y la actividad posterior al compromiso observada.
«Después de obtener acceso inicial, ya sea mediante la explotación exitosa de servidores vulnerables o mediante el uso de credenciales comprometidas, UAT-8837 implementa predominantemente herramientas de código abierto para recolectar información confidencial como credenciales, configuraciones de seguridad e información de dominio y Active Directory (AD) para crear múltiples canales de acceso a sus víctimas», agregó.
Se dice que UAT-8837 aprovechó más recientemente una vulnerabilidad crítica de día cero en Sitecore (CVE-2025-53690, puntuación CVSS: 9.0) para obtener acceso inicial, y la intrusión comparte similitudes de TTP, herramientas e infraestructura con una campaña detallada por Mandiant, propiedad de Google, en septiembre de 2025. SiteCore publicó correcciones para la falla a principios de ese mes.
Si bien no está claro si estos dos clústeres son obra del mismo actor, sugiere que UAT-8837 puede tener acceso a exploits de día cero para realizar ataques cibernéticos.
Una vez que el adversario obtiene un punto de apoyo en las redes objetivo, realiza un reconocimiento preliminar, seguido de deshabilitar RestrictedAdmin para el Protocolo de escritorio remoto (RDP), una característica de seguridad que garantiza que las credenciales y otros recursos del usuario no estén expuestos a hosts remotos comprometidos.
También se dice que UAT-8837 abre «cmd.exe» para realizar actividades prácticas con el teclado en el host infectado y descargar varios artefactos para permitir la post-explotación. Algunas de las herramientas notables incluyen:
- GoTokenTheft, para robar tokens de acceso
- EarthWorm, para crear un túnel inverso hacia servidores controlados por atacantes utilizando SOCKS
- DWAgent, para permitir el acceso remoto persistente y el reconocimiento de Active Directory
- SharpHound, para recopilar información de Active Directory
- Impacket, para ejecutar comandos con privilegios elevados
- GoExec, una herramienta basada en Golang para ejecutar comandos en otros puntos finales remotos conectados dentro de la red de la víctima
- Rubeus, un conjunto de herramientas basado en C# para la interacción y el abuso de Kerberos
- Certipy, una herramienta para el descubrimiento y abuso de Active Directory
«UAT-8837 puede ejecutar una serie de comandos durante la intrusión para obtener información confidencial, como credenciales de organizaciones víctimas», dijeron los investigadores Asheer Malhotra, Vitor Ventura y Brandon White.
«En una organización víctima, UAT-8837 exfiltró bibliotecas compartidas basadas en DLL relacionadas con los productos de la víctima, lo que aumenta la posibilidad de que estas bibliotecas puedan ser troyanizadas en el futuro. Esto crea oportunidades para comprometer la cadena de suministro y aplicar ingeniería inversa para encontrar vulnerabilidades en esos productos».
La divulgación se produce una semana después de que Talos atribuyó a otro actor de amenazas del nexo con China conocido como UAT-7290 a intrusiones centradas en el espionaje contra entidades en el sur de Asia y el sudeste de Europa utilizando familias de malware como RushDrop, DriveSwitch y SilentRaid.
En los últimos años, las preocupaciones sobre los actores de amenazas chinos que apuntan a infraestructuras críticas han llevado a los gobiernos occidentales a emitir varias alertas. A principios de esta semana, agencias de inteligencia y ciberseguridad de Australia, Alemania, Países Bajos, Nueva Zelanda, Reino Unido y Estados Unidos advirtieron sobre las crecientes amenazas a los entornos de tecnología operativa (OT).
La guía ofrece un marco para diseñar, proteger y gestionar la conectividad en sistemas OT, instando a las organizaciones a limitar la exposición, centralizar y estandarizar las conexiones de red, utilizar protocolos seguros, reforzar los límites de OT, garantizar que toda la conectividad sea monitoreada y registrada, y evitar el uso de activos obsoletos que podrían aumentar el riesgo de incidentes de seguridad.
«Se sabe que la conectividad OT expuesta e insegura es el objetivo de actores tanto oportunistas como altamente capaces», dijeron las agencias. «Esta actividad incluye actores patrocinados por el estado que atacan activamente las redes de infraestructura nacional crítica (CNI). La amenaza no se limita solo a los actores patrocinados por el estado con incidentes recientes que muestran cómo los hacktivistas atacan de manera oportunista la infraestructura OT expuesta».
(La historia se actualizó después de la publicación para enfatizar que la vulnerabilidad no es nueva y que SiteCore la parchó en septiembre de 2025).