Un sofisticado grupo de amenaza persistente avanzada (APT) del nexo China se ha atribuido a ataques dirigidos a entidades gubernamentales en América del Sur desde al menos finales de 2024 y a agencias gubernamentales en el sureste de Europa en 2025.
Cisco Talos está rastreando la actividad bajo el nombre de UAT-8302y la post-explotación implica el despliegue de familias de malware personalizadas que han sido utilizadas por otros grupos de hackers alineados con China.
Entre las familias de malware destaca una puerta trasera basada en .NET denominada NetDraft (también conocida como NosyDoor), una variante C# de FINALDRAFT (también conocida como Squidoor) que se ha vinculado anteriormente a grupos de amenazas conocidos como Ink Dragon, CL-STA-0049, Earth Alux, Jewelbug y REF7707.
ESET está rastreando el uso de NosyDoor en un grupo al que llama LongNosedGoblin. Curiosamente, el mismo malware también ha sido implementado contra organizaciones de TI rusas por un actor de amenazas conocido como Erudite Mogwai (también conocido como Space Pirates y Webworm), según la empresa rusa de ciberseguridad Solar, que le ha dado el nombre de LuckyStrike Agent.
Algunas de las otras herramientas utilizadas por UAT-8302 son las siguientes:
«El malware implementado por UAT-8302 lo conecta con varios grupos de amenazas previamente divulgados públicamente, lo que indica al menos una estrecha relación operativa entre ellos», dijeron los investigadores de Talos Jungsoo An, Asheer Malhotra y Brandon White en un informe técnico publicado hoy.
«En general, los diversos artefactos maliciosos desplegados por UAT-8302 indican que el grupo tiene acceso a herramientas utilizadas por otros actores APT sofisticados, todos los cuales han sido evaluados como nexo con China o de habla china por varios informes de la industria de terceros».
Actualmente no se sabe qué métodos de acceso inicial emplea el adversario para irrumpir en las redes objetivo, pero se sospecha que involucra el enfoque probado de convertir en armas exploits de día cero y día N en aplicaciones web.
Al lograr un punto de apoyo, se sabe que los atacantes realizan un reconocimiento exhaustivo para mapear la red, ejecutan herramientas de código abierto como gogo para realizar escaneos automatizados y se mueven lateralmente por el entorno. Las cadenas de ataques culminan con la implementación de NetDraft, CloudSorcerer (versión 3.0) y VShell.
También se ha observado que UAT-8302 utiliza una variante de SNOWLIGHT basada en Rust llamada SNOWRUST para descargar la carga útil de VShell desde un servidor remoto y ejecutarla. Además de utilizar malware personalizado, el actor de amenazas configura medios alternativos de acceso por puerta trasera utilizando herramientas de proxy y VPN como Stowaway y SoftEther VPN.
Los hallazgos subrayan la tendencia de tácticas de colaboración avanzadas entre múltiples grupos alineados con China. En octubre de 2025, Trend Micro arrojó luz sobre un fenómeno llamado «Premier Pass-as-a-Service», donde el acceso inicial obtenido por Earth Estries se pasa a Earth Naga para su posterior explotación, lo que nubla los esfuerzos de desgaste. Se estima que esta asociación existe desde al menos finales de 2023.
«Premier Pass-as-a-Service proporciona acceso directo a activos críticos, reduciendo el tiempo dedicado a las fases de reconocimiento, explotación inicial y movimiento lateral», afirmó Trend Micro. «Aunque aún no se conoce el alcance total de este modelo, el número limitado de incidentes observados, combinado con el riesgo sustancial de exposición que implica un servicio de este tipo, sugiere que el acceso probablemente esté restringido a un pequeño círculo de actores de amenazas».