Một tác nhân đe dọa được cho là có liên kết với Trung Quốc đã bị phát hiện nhắm mục tiêu vào các lĩnh vực hạ tầng trọng yếu ở Bắc Mỹ từ ít nhất năm ngoái.
Cisco Talos, đang theo dõi hoạt động này dưới tên UAT-8837, đánh giá đây là một tác nhân APT (advanced persistent threat) liên kết với Trung Quốc với độ tin cậy trung bình, dựa trên sự trùng lặp về chiến thuật với các chiến dịch khác do các tác nhân đe dọa từ khu vực này thực hiện.
Công ty an ninh mạng này lưu ý rằng tác nhân đe dọa "chủ yếu được giao nhiệm vụ giành quyền truy cập ban đầu vào các tổ chức có giá trị cao", dựa trên các chiến thuật, kỹ thuật và quy trình (TTPs) cũng như hoạt động sau khi xâm nhập được quan sát.
Sau khi giành được quyền truy cập ban đầu — bằng cách khai thác thành công các máy chủ dễ bị tổn thương hoặc sử dụng thông tin đăng nhập bị đánh cắp — UAT-8837 chủ yếu triển khai các công cụ mã nguồn mở để thu thập thông tin nhạy cảm như thông tin đăng nhập, cấu hình bảo mật, thông tin miền và Active Directory (AD) nhằm tạo nhiều kênh truy cập vào nạn nhân của chúng, họ cho biết thêm.
UAT-8837 được cho là gần đây nhất đã khai thác một lỗ hổng zero-day nghiêm trọng trong Sitecore (CVE-2025-53690, điểm CVSS: 9.0) để giành quyền truy cập ban đầu, với cuộc xâm nhập này có TTP, công cụ và cơ sở hạ tầng tương đồng với một chiến dịch được Mandiant thuộc Google công bố chi tiết vào tháng 9 năm 2025.
Mặc dù không rõ liệu hai nhóm này có phải là sản phẩm của cùng một tác nhân hay không, nhưng điều đó cho thấy UAT-8837 có thể có quyền truy cập vào các exploit zero-day để thực hiện các cuộc tấn công mạng.
Khi kẻ tấn công giành được chỗ đứng trong mạng mục tiêu, chúng sẽ tiến hành trinh sát sơ bộ, sau đó vô hiệu hóa RestrictedAdmin cho Remote Desktop Protocol (RDP), một tính năng bảo mật đảm bảo thông tin đăng nhập và các tài nguyên người dùng khác không bị lộ ra cho các máy chủ từ xa bị xâm nhập.
UAT-8837 cũng được cho là mở "cmd.exe" để thực hiện các hoạt động trực tiếp trên máy chủ bị nhiễm và tải xuống một số artifact để hỗ trợ post-exploitation. Một số artifact đáng chú ý bao gồm -
Công cụ và kỹ thuật Post-Exploitation
- GoTokenTheft, để đánh cắp access token
- EarthWorm, để tạo một reverse tunnel đến các máy chủ do kẻ tấn công kiểm soát bằng SOCKS
- DWAgent, để cho phép truy cập từ xa liên tục và trinh sát Active Directory
- SharpHound, để thu thập thông tin Active Directory
- Impacket, để chạy các lệnh với đặc quyền nâng cao
- GoExec, một công cụ dựa trên Golang để thực thi các lệnh trên các endpoint từ xa được kết nối khác trong mạng của nạn nhân
- Rubeus, một bộ công cụ dựa trên C# để tương tác và lạm dụng Kerberos
- Certipy, một công cụ để phát hiện và lạm dụng Active Directory
"UAT-8837 có thể chạy một loạt lệnh trong quá trình xâm nhập để lấy thông tin nhạy cảm, chẳng hạn như thông tin đăng nhập từ các tổ chức nạn nhân," các nhà nghiên cứu Asheer Malhotra, Vitor Ventura và Brandon White cho biết.
"Trong một tổ chức nạn nhân, UAT-8837 đã trích xuất các thư viện chia sẻ dựa trên DLL liên quan đến sản phẩm của nạn nhân, làm tăng khả năng các thư viện này có thể bị trojan hóa trong tương lai. Điều này tạo cơ hội cho các cuộc tấn công chuỗi cung ứng và reverse engineering để tìm ra lỗ hổng trong các sản phẩm đó."
Thông tin tiết lộ này được đưa ra một tuần sau khi Talos gán một tác nhân đe dọa liên kết với Trung Quốc khác, được gọi là UAT-7290, cho các cuộc xâm nhập tập trung vào hoạt động gián điệp chống lại các thực thể ở Nam Á và Đông Nam Âu bằng cách sử dụng các họ mã độc như RushDrop, DriveSwitch và SilentRaid.
Mối đe dọa từ tác nhân Trung Quốc đối với hạ tầng trọng yếu
Trong những năm gần đây, những lo ngại về các tác nhân đe dọa của Trung Quốc nhắm mục tiêu vào hạ tầng trọng yếu đã thúc đẩy các chính phủ phương Tây đưa ra một số cảnh báo. Đầu tuần này, các cơ quan an ninh mạng và tình báo từ Úc, Đức, Hà Lan, New Zealand, Vương quốc Anh và Hoa Kỳ đã cảnh báo về các mối đe dọa ngày càng tăng đối với môi trường operational technology (OT).
Hướng dẫn này cung cấp một khuôn khổ để thiết kế, bảo mật và quản lý kết nối trong các hệ thống OT, kêu gọi các tổ chức hạn chế phơi nhiễm, tập trung hóa và tiêu chuẩn hóa các kết nối mạng, sử dụng các protocol an toàn, củng cố ranh giới OT, đảm bảo tất cả các kết nối được giám sát và ghi nhật ký, và tránh sử dụng các tài sản lỗi thời có thể làm tăng nguy cơ sự cố bảo mật.
"Kết nối OT bị phơi nhiễm và không an toàn được biết là mục tiêu của cả các tác nhân cơ hội và các tác nhân có khả năng cao," các cơ quan cho biết. "Hoạt động này bao gồm các tác nhân được nhà nước hậu thuẫn tích cực nhắm mục tiêu vào các mạng lưới critical national infrastructure (CNI). Mối đe dọa không chỉ giới hạn ở các tác nhân được nhà nước hậu thuẫn với các sự cố gần đây cho thấy hạ tầng OT bị phơi nhiễm cũng bị các hacktivist nhắm mục tiêu một cách cơ hội."
