Meta News

Grupo APT vinculado a China utiliza malware compartido contra gobiernos

Resumen: Se atribuyen a un sofisticado grupo APT con nexos chinos ataques a gobiernos en Sudamérica y Europa, utilizando el nombre UAT-8302. Este grupo despliega malware que ha sido usado previamente por otras organizaciones de hacking alineadas con China.

Grupo vinculado a China apunta a sistemas Linux y firewalls SonicWall en nueva campaña de ciberespionaje

Investigadores de ciberseguridad detectaron una nueva campaña atribuida al grupo de amenazas UAT-8302, presuntamente vinculado a China, que está atacando sistemas Linux y dispositivos Sonic Wall mediante malware personalizado y técnicas avanzadas de persistencia.

La operación, revelada por The Hacker News, muestra nuevamente cómo los actores estatales continúan enfocándose en infraestructura crítica y dispositivos perimetrales para obtener acceso prolongado a redes corporativas y gubernamentales.

Objetivos de la campaña

Los ataques observados se dirigen principalmente contra:

  • servidores Linux expuestos a Internet,
  • appliances de seguridad SonicWall,
  • infraestructura de red corporativa,
  • sistemas de acceso remoto.

El grupo utiliza malware diseñado específicamente para mantener persistencia y facilitar operaciones de espionaje a largo plazo.

Herramientas utilizadas por UAT-8302

Los investigadores identificaron varias herramientas maliciosas utilizadas durante la campaña, incluyendo:

  • backdoors para Linux,
  • web shells,
  • scripts de reconocimiento,
  • mecanismos de evasión de detección.

Los atacantes buscan mantener acceso silencioso a los sistemas comprometidos mientras recopilan información y expanden su presencia dentro de la red.

Además, la infraestructura observada sugiere operaciones cuidadosamente organizadas y orientadas al espionaje más que al beneficio financiero inmediato.

Firewalls y appliances: un objetivo cada vez más frecuente

Los dispositivos perimetrales continúan siendo uno de los blancos favoritos para grupos APT debido a que:

  • suelen estar expuestos directamente a Internet,
  • poseen altos privilegios,
  • manejan tráfico sensible,
  • frecuentemente reciben menos monitoreo que endpoints tradicionales.

Durante los últimos años, múltiples campañas vinculadas a estados-nación explotaron vulnerabilidades en:

  • firewalls,
  • VPNs,
  • gateways SSL,
  • soluciones MDM,
  • appliances de seguridad empresarial.

El objetivo principal suele ser obtener acceso persistente y evitar mecanismos tradicionales de detección EDR.

Linux bajo ataque

Aunque muchas organizaciones centran sus defensas en Windows, los ataques dirigidos contra Linux están creciendo rápidamente, especialmente en:

  • servidores cloud,
  • contenedores,
  • infraestructura DevOps,
  • sistemas empresariales críticos.

Los actores avanzados aprovechan que numerosos entornos Linux poseen:

  • monitoreo limitado,
  • configuraciones débiles,
  • software desactualizado,
  • herramientas defensivas menos maduras.
Indicadores de una operación de espionaje

Según los investigadores, varios elementos apuntan a motivaciones de ciberespionaje:

  • persistencia prolongada,
  • bajo perfil operativo,
  • malware personalizado,
  • targeting selectivo,
  • infraestructura cuidadosamente segmentada.

Este tipo de campañas suele enfocarse en robo de información estratégica, acceso a largo plazo y recopilación de inteligencia.

Recomendaciones de seguridad

Especialistas recomiendan:

  • actualizar inmediatamente dispositivos SonicWall y sistemas Linux,
  • restringir acceso administrativo desde Internet,
  • monitorear actividad anómala en firewalls,
  • revisar logs históricos,
  • implementar segmentación de red,
  • utilizar autenticación multifactor,
  • desplegar detección avanzada en servidores Linux.

También se aconseja revisar indicadores de compromiso publicados por los investigadores para identificar posibles infecciones previas.

El crecimiento del espionaje sobre infraestructura crítica

La campaña atribuida a UAT-8302 refleja una tendencia cada vez más visible: los actores estatales están priorizando la infiltración silenciosa de infraestructura perimetral y servidores Linux para sostener operaciones de inteligencia a largo plazo.

En un contexto global donde las amenazas APT continúan creciendo, la protección de appliances de seguridad y sistemas Linux se vuelve tan crítica como la defensa de endpoints tradicionales.

Datos clave

  • El grupo UAT-8302 fue reportado por ataques en Sudamérica (desde 2024) y Europa (desde 2025).
  • El malware incluye NetDraft, una backdoor en .NET, asociada a clústeres como Ink Dragon.
  • El grupo utiliza herramientas como CloudSorcerer y SNOWLIGHT contra múltiples entidades.
  • Los atacantes acceden a herramientas de varios grupos APT sofisticados, con nexos chinos.

¿Por qué importa?

El uso de malware compartido y herramientas de múltiples grupos APT indica que UAT-8302 opera con un nivel avanzado de acceso a infraestructura cibernética sofisticada. Esta utilización de herramientas compartidas hace que la defensa sea más compleja, ya que la mitigación debe cubrir múltiples vetores de ataque conocidos en diversas regiones.

X profile@thehackersnewshttps://twitter.com/thehackersnews
Contenido embebido de: Grupo APT vinculado a China utiliza malware compartido contra gobiernos
Etiquetas:
APT Malware Seguridad Cibernética China Gobiernos

Detalles estructurados

  • Industria: cybersecurity
  • Tipo de fuente: media
  • Estado de la afirmación: confirmed
  • Verificación: claimed_by_source
  • Entidades: Cisco Talos, NetDraft, UAT-8302

Fuente: https://thehackernews.com/2026/05/china-linked-uat-8302-targets.html

Publicado el