مجموعة UAT-8302 المرتبطة بالصين كتستعمل برمجيات خبيثة مشتركة باش تهاجم حكومات في أمريكا الجنوبية وأوروبا الشرقية

خلاصة: باحثين ديال Cisco Talos ربطو مجموعة APT عندها علاقة بالصين سميتها UAT-8302 بحملات استهداف ضد حكومات في أمريكا الجنوبية من أواخر 2024، وفي جنوب شرق أوروبا في 2025. هاد المجموعة كتستعمل عائلات ديال البرمجيات الخبيثة بحال NetDraft (NosyDoor)، CloudSorcerer، و VShell — وهادو أدوات كيشاركوهم مع مجموعات تهديد أخرى عندها توجه صيني، وهادشي كيبين بلي كاين وصول منسق لنفس مجموعة الأدوات. طرق التحرك والوصول الأولي (Initial access) باقة ما مأكداش، ولكن كاين اشتباه في استغلال ثغرات في تطبيقات الويب.

شنو واقع

واحد المجموعة ديال الـ APT تابعة للصين، اللي كيتبعوها الباحثين ديال Cisco Talos بسمية UAT-8302، دارت حملات اختراق استهدفت جهات حكومية في جوج مناطق. النشاط ديال الهجومات على حكومات أمريكا الجنوبية موثق على الأقل من أواخر 2024. وموجة أخرى منفصلة ديال الهجومات ضربات وكالات حكومية في جنوب شرق أوروبا في 2025.

الباحثين الأمنيين ديال Cisco Talos، اللي هما Jungsoo An، Asheer Malhotra، و Brandon White، نشرو تقارير تقنية كتربط UAT-8302 ببنية تحتية متطورة ديال ما بعد الاختراق (post-exploitation). الترسانة ديال البرمجيات الخبيثة ديال هاد المجموعة فيها أدوات سبق وتنسبات لعدة مجموعات تهديد أخرى مرتبطة بالصين — وهاد النمط كيبين إما كاين وصول مشترك لنفس مجموعة الأدوات، أو كاين تعاون مقصود بيناتهم.

الـ باب خلفي (backdoor) الأساسي اللي كتستعملو هاد UAT-8302 هو NetDraft، اللي معروف حتى بـ NosyDoor. هاد البرمجية مبنية على .NET وهي نسخة C# ديال FINALDRAFT (المعروف بـ Squidoor)، واللي سبق لشركات الأمن والحماية ربطوها بمجموعات تهديد بحال Ink Dragon، CL-STA-0049، Earth Alux، Jewelbug، و REF7707. شركة ESET كتتبع استخدامات NosyDoor عند مجموعة منفصلة سماتها LongNosedGoblin. ونفس البرمجية تشافت في هجومات على منظمات تكنولوجيا المعلومات الروسية من طرف فاعل التهديد اللي معروف بـ Erudite Mogwai (وكيتبعوه حتى بسميات Space Pirates و Webworm)، على حساب شركة الأمن السيبراني الروسية Solar.

مجموعة الأدوات العملياتية ديال UAT-8302 ما حابساطش غير في NetDraft. المجموعة كتستعمل CloudSorcerer، وهو باب خلفي (backdoor) تلاحظ في هجومات استهدفت روسيا من ماي 2024. النسخة 3.0 ديال CloudSorcerer بانت في سلاسل الهجوم ديال UAT-8302. كاين حتى SNOWLIGHT، اللي هو VShell stager سبق وستعملوه UNC5174، UNC6586، و UAT-6382، داخل في البنية التحتية ديال المجموعة. هاد UAT-8302 ستعملات حتى نسخة من SNOWLIGHT مبرمجة بـ Rust تعطاتها سمية SNOWRUST.

عائلات أخرى ديال البرمجيات الخبيثة بانت في عمليات UAT-8302، بحال Deed RAT (المعروف بـ Snappybee)، اللي جا كبديل لـ ShadowPad، و Zingdoor — وهادو بجوج أدوات سبق وستعملاتهم Earth Estries في أواخر 2024. بان حتى Draculoader، اللي هو shellcode loader كيقوم بتوصيل Crowdoor و HemiGate، في حملات UAT-8302.

طرق الوصول الأولي باقة ما معروفاش بشكل قطعي. نمط الهجوم كيخلينا نشكو في استغلال ثغرات zero-day أو N-day في تطبيقات الويب. ملي كيدخلو الشبكة ديال الضحية، مشغلي UAT-8302 كيديرو استطلاع (reconnaissance)، وكينزلو أدوات الفحص مفتوحة المصدر بحال gogo باش يديرو enumeration تلقائي للشبكة، ومن بعد كيبداو في التحرك الجانبي (lateral movement). البقاء في النظام (persistence) ديال هاد الـ باب خلفي (backdoor) كيتم عبر نشر VShell وكيتدعم بأدوات ديال الـ proxy والـ VPN بحال Stowaway و SoftEther VPN.

هاد النشاط كيعكس توجه عام ومتزايد في بيئة التهديدات اللي مرتبطة بالصين. شركة Trend Micro كانت نشرات في أكتوبر 2025 تقرير على نموذج "Premier Pass-as-a-Service"، فين مجموعة Earth Estries كتحصل على الوصول الأولي للشبكات المستهدفة، ومن بعد كتعطي داك الوصول لمجموعة Earth Naga باش تستغلو. كاين تقديرات بلي هاد الشراكة خدامة على الأقل من أواخر 2023. Trend Micro لاحظات بلي هاد النموذج كيعطي وصول مباشر للأنظمة الحساسة، وهادشي كينقص الوقت ديال الاستطلاع والتحرك الجانبي، وكيبان بلي هاد الوصول محصور غير على دائرة ضيقة ديال المهاجمين.

علاش هادشي مهم

بالنسبة للمدافعين في القطاعات الحكومية والحساسة في أمريكا الجنوبية وجنوب شرق أوروبا، هاد النشاط كيعتبر إنذار على تهديد مستمر من مجموعة عندها موارد كبيرة ووصول لأدوات متطورة. استخدام عائلات برمجيات خبيثة مشتركة بين بزاف ديال مجموعات التهديد كيعقد العملية ديال تتبع المصدر (attribution) وكيبين إما كاين تزويد منسق بالأدوات أو بنية تحتية مشتركة ديال التطوير.

عائلات البرمجيات الخبيثة المستخدمة — NetDraft، CloudSorcerer، و VShell — ماشي أدوات عادية وخفيفة. باش تكتشفهم كتحتاج تكون عارف التواقيع ديالهم (signatures)، السلوكيات ديالهم، والأنماط ديال الاتصال بمراكز القيادة والتحكم (command-and-control). بزاف ديال المؤسسات ممكن ما تكونش عندها هاد البيانات (telemetry) إذا ما سبقش ليهم شافو حملات بحال هادي في المناطق ديالهم.

نموذج "Premier Pass-as-a-Service" كيشكل خطورة عملياتية لفرق الـ SOC والناس اللي كتحمي الشبكات. ملي UAT-8302 (أو المجموعة اللي كتستقبل) كتاخد الوصول الأولي واجد من مجموعة أخرى، كتحيد عليها تمارة ديال الاستطلاع وكتدوز مباشرة للاستغلال ديال النظام. هاد الوقت القصير كينقص من فرص الاكتشاف (detection windows) وكيخلي أثر جنائي أوضح وأقل في المراحل الأولى ديال الاختراق.

بالنسبة للـ مطورين اللي كيسيرو تطبيقات الويب المعرضة للأنترنيت في الشبكات الحكومية، استمرار الاعتماد على استغلال ثغرات تطبيقات الويب — سواء zero-day أو N-day — كيأكد على الحاجة الضرورية لدورات ترقيع (patch cycles) سريعة، بالإضافة لضوابط تعويضية بحال Web Application Firewalls (WAFs) وتحديد معدل الطلبات (request rate limiting).

الأنظمة المتضررة والـ CVEs

• NetDraft (NosyDoor)
• CloudSorcerer (النسخة 3.0)
• VShell و SNOWLIGHT stagers
• SNOWRUST (نسخة SNOWLIGHT مبرمجة بـ Rust)
• Deed RAT (Snappybee)
• Zingdoor
• Draculoader

ما كاين حتى تقييد ديال CVE وقت نشر هاد التقرير.

شنو خاصك دير

• راقب أنماط التحرك الجانبي والاستطلاع في الشبكة اللي كتكون عادية في أنشطة ما بعد الاختراق؛ طبق عزل الشبكة (network segmentation) باش تحد من تحركات الـ مهاجم.
• قلب (Hunt) على استخدام ديال أدوات الفحص مفتوحة المصدر بحال gogo في السجلات ديال الشبكة (network logs) وبيانات تنفيذ العمليات (process execution telemetry).
• عطي الأولوية لعمليات ترقيع ثغرات zero-day و N-day في تطبيقات الويب المعرضة للأنترنيت. دير Web Application Firewalls مكونفيكري باش يكتشف أنماط الاستغلال.
• راقب وبلوكي أدوات الـ proxy والـ VPN، بحال Stowaway و SoftEther VPN، في حدود الشبكة وعن طريق ضوابط نقاط النهاية (endpoint controls).
• فعل أدوات الاكتشاف والاستجابة في نقاط النهاية (EDR) اللي يكونو فيها تواقيع أو تحليلات سلوكية (behavioral heuristics) الخاصة بـ NetDraft، CloudSorcerer، VShell، SNOWLIGHT، SNOWRUST، Deed RAT، Zingdoor، و Draculoader.
• منع تشغيل الملفات التنفيذية (binaries) اللي ما موقعاش أو المشبوهة عن طريق القوائم البيضاء للتطبيقات (application whitelisting) باش تنقص المساحة ديال الهجوم وتصعب عليهم نشر الـ stagers.
• راجع سجلات الـ firewall والـ proxy على أنماط الاتصال المتعلقة بمراكز القيادة والتحكم (command-and-control) المرتبطة بعائلات البرمجيات الخبيثة اللي تذكرات الفوق.

أسئلة باقة مطروحة

• شنو هما النواقل ديال الوصول الأولي اللي كتستعملها UAT-8302 من غير الاستغلال المشتبه فيه ديال تطبيقات الويب؟
• شكون هما الجهات الحكومية المحددة في أمريكا الجنوبية وجنوب شرق أوروبا اللي تدار ليها استهداف فهاد العملية؟
• شنو هو النطاق الكامل ديال نموذج "Premier Pass-as-a-Service" وشحال ديال فاعلي التهديد كيشاركو فيه؟
• واش مجموعة UAT-8302 باقة كتمارس عمليات نشطة في وقت نشر التقرير ديال Cisco Talos؟
• واش NetDraft وعائلات البرمجيات الخبيثة الأخرى كيتشاركو البنية التحتية ديال التطوير ولا كيتوزعو عن طريق سلسلة التزويد (supply chain) اللي كيشاركوها بزاف ديال المجموعات اللي تابعة للصين؟

Source

China-Linked UAT-8302 Targets Governments Using Shared APT Malware Across Regions