Un grup de hackeri legat de China a infiltrat furnizori de servicii de telecomunicații din America de Sud încă din 2024, implementând trei familii de programe malware necunoscute anterior pe sisteme Windows, Linux și dispozitive de rețea edge, conform unui raport publicat de Cisco Talos pe 5 martie.
Actorul de amenințare, urmărit sub numele UAT-9244, este evaluat cu grad ridicat de încredere ca fiind strâns asociat cu grupurile consacrate de spionaj chinezești FamousSparrow și Tropic Trooper, pe baza instrumentelor, tacticilor și profilurilor victimelor comune. Deși UAT-9244 vizează același sector de telecomunicații ca Salt Typhoon — grupul din spatele atacurilor de mare profil din 2024 împotriva a cel puțin nouă operatori americani — Talos a declarat că nu a putut stabili o legătură directă între cele două grupuri.
Trei implanturi, trei platforme
Campania se concentrează pe trei implanturi personalizate concepute să acopere întreaga gamă de infrastructură găsită în cadrul unui furnizor de telecomunicații.
TernDoor, un backdoor pentru Windows derivat din malware-ul cunoscut CrowDoor, este implementat prin side-loading de DLL folosind executabilul legitim „wsprint.exe” pentru a încărca o bibliotecă malițioasă numită „BugSplatRc64.dll”, care decriptează și injectează payload-ul final în memorie. Odată activat, comunică cu servere de comandă și control pentru a executa comenzi, citi și scrie fișiere și implementa un driver Windows capabil să ascundă activitatea malițioasă.
PeerTime este un backdoor pentru Linux compilat pentru multiple arhitecturi — inclusiv ARM, MIPS și PowerPC — permițându-i să infecteze sisteme embedded și dispozitive edge. Utilizează protocolul BitTorrent pentru comunicarea peer-to-peer de comandă și control, reducând dependența de infrastructura centralizată și complicând eforturile de eliminare. Cercetătorii Talos au observat că un binar asociat conține string-uri de debug în chineză simplificată, susținând în continuare atribuirea către un actor de amenințare vorbitor de chineză.
BruteEntry, al treilea implant, transformă dispozitivele edge compromise în noduri proxy de scanare în masă cunoscute sub numele de Operational Relay Boxes. Scris în Golang, forțează brut credențiale pentru servere SSH, PostgreSQL și Apache Tomcat, raportând autentificările reușite înapoi la un server de control.
Focalizare strategică pe infrastructura din America Latină
Metoda exactă de acces inițial rămâne neclară, deși Talos a menționat că atacatorii au exploatat anterior instalări vechi de Windows Server și Microsoft Exchange pentru a instala web shell-uri. Focalizarea exclusivă pe infrastructura de telecomunicații din America de Sud îl diferențiază pe UAT-9244 de alte grupuri APT chinezești care au vizat mai multe regiuni.
Combinația dintre backdoor-uri stealth, canale de comandă descentralizate și instrumente de construire a releelor poziționează UAT-9244 să mențină accesul pe termen lung în rețelele operatorilor de telecomunicații — un acces care ar putea permite supravegherea traficului de voce și date și deplasarea laterală către clienții corporativi pe care îi deservesc acești operatori. Talos a publicat indicatori de compromitere pentru a ajuta echipele de apărare să detecteze și să blocheze campania.
Surse:
https://www.matricedigitale.it/2026/03/05/uat-9244-apt-cina-telecom-sud-america-terndoor/