Пријави инцидент
Пријави инцидент

Нови хакери поврзани со Кина пробиваат телекомуникациски компании преку експлоатирање на edge уреди

Објавено: 09.01.2026

Софистициран заканувачки актер кој користи Linux-базиран малициозен софтвер за таргетирање на телекомуникациски провајдери неодамна ги проширил своите операции и кон организации во Југоисточна Европа.

Интерно следен од Cisco Talos како UAT-7290, овој актер покажува силни индикатори за поврзаност со Кина и најчесто се фокусира на телекомуникациски компании во Јужна Азија во рамки на кибершпионски операции.

Активна најмалку од 2022 година, групата UAT-7290 дејствува и како група за иницијален пристап, воспоставувајќи инфраструктура од типот Operational Relay Box (ORB) за време на нападите, која потоа ја користат и други заканувачки актери усогласени со Кина.

Според истражувачите, хакерите спроведуваат обемно извидување пред пробивот и распоредуваат комбинација од сопствен и open-source малициозен софтвер, како и јавни експлоити за познати ранливости во edge мрежни уреди.

„UAT-7290 користи one-day експлоити и SSH brute-force напади специфични за целта за да компромитира јавно достапни edge уреди, со цел да добие иницијален пристап и да ескалира привилегии на компромитираните системи“, соопшти Cisco Talos во денешниот извештај.

Арсеналот на UAT-7290

UAT-7290 првенствено користи Linux-базиран малициозен софтвер, со повремено распоредување на Windows импланти како RedLeaves и ShadowPad, кои се широко споделени меѓу повеќе актери поврзани со Кина.

Cisco ги истакнува следниве Linux семејства на малициозен софтвер поврзани со UAT-7290:

  • RushDrop (ChronosRAT) – Почетен dropper кој ја започнува инфекциската низа. Извршува основни anti-VM проверки, креира или проверува скриен директориум .pkgdb и декодира три вградени бинарни фајлови: daytime (DriveSwitch извршувач), chargen (SilentRaid имплант) и busybox, легитимна Linux алатка злоупотребена за извршување команди.
  • DriveSwitch – Помошна компонента испуштена од RushDrop, чија примарна функција е да го изврши SilentRaid имплантот на компромитираниот систем.
  • SilentRaid (MystRodX) – Главниот перзистентен имплант, напишан во C++ и изграден околу plugin-базиран дизајн. Спроведува основни anti-analysis проверки, го резолвира својот C2 домен преку јавниот DNS resolver на Google; поддржува далечински shell пристап, port forwarding, операции со фајлови, архивирање директориуми со tar, пристап до /etc/passwd и собирање атрибути од X.509 сертификати.
  • Bulbature – Linux-базиран имплант спакуван со UPX, претходно документиран од Sekoia, кој се користи за претворање на компромитираните уреди во Operational Relay Boxes (ORB). Слуша на конфигурирачки порти, отвора reverse shell-и и ја складира C2 конфигурацијата во /tmp/.cfg*, поддржува ротација на C2 и користи self-signed TLS сертификат.

TLS сертификатот на Bulbature, кој е ист како оној претходно документиран од Sekoia, е пронајден на 141 хост лоциран во Кина и Хонг Конг, чии IP адреси биле поврзани и со други семејства на малициозен софтвер како SuperShell, GobRAT и Cobalt Strike beacon-и.

Извештајот на Cisco Talos обезбедува детални технички информации за малициозниот софтвер што го користи UAT-7290, како и листа на индикатори за компромитација (IoC) со цел да им помогне на организациите да се заштитат од овој заканувачки актер.

Извори:

  • Bleeping Computer – New China-linked hackers breach telcos using edge device exploits Bleeping Computer