Campanha observada na América do Sul e no sudeste europeu combina reconhecimento interno, movimentação lateral, backdoors customizados, stagers e ferramentas de proxy e VPN para manter acesso pós-exploração.
| Componente | Campanha UAT-8302 contra entidades governamentais, com uso de NetDraft, CloudSorcerer 3.0, VShell, SNOWRUST, Stowaway e SoftEther VPN. |
| Vetor | O acesso inicial não foi confirmado; a hipótese técnica indicada é exploração de aplicações web por falhas zero-day ou N-day, seguida de reconhecimento, varredura automatizada e movimentação lateral. |
| Impacto | Acesso persistente e pós-exploração em redes governamentais, com implantação de backdoors, execução remota de payloads, criação de canais alternativos de acesso e aumento da dificuldade de atribuição pela reutilização de ferramentas entre grupos. |
| Prioridade | Revisar exposição de aplicações web, procurar execução de gogo, VShell, CloudSorcerer, NetDraft, SNOWRUST, Stowaway e SoftEther VPN, e validar acessos remotos não aprovados. |
| Artefatos | NetDraft também é conhecido como NosyDoor; é uma backdoor em .NET e variante em C# de FINALDRAFT, também chamada de Squidoor. |
| Mitigação | Restringir superfície web, corrigir falhas N-day expostas, bloquear ferramentas de túnel não autorizadas, revisar persistência em hosts comprometidos e rotacionar credenciais administrativas após evidência de movimentação lateral. |
A atividade rastreada como UAT-8302 descreve uma operação de espionagem cibernética associada a interesses chineses contra entidades governamentais. A campanha aparece em redes governamentais da América do Sul desde pelo menos o fim de 2024 e também em agências governamentais do sudeste europeu em 2025. O ponto mais importante para defesa não é apenas a presença de uma única família de malware, mas o conjunto de artefatos que conecta a operação a ecossistemas já observados em outros grupos avançados. A campanha usa backdoors customizados, stagers, ferramentas de varredura, proxy e VPN para transformar um acesso inicial em permanência operacional dentro do ambiente.
O acesso inicial ainda não foi determinado de forma pública. A hipótese técnica levantada para a intrusão envolve exploração de aplicações web por vulnerabilidades zero-day ou N-day, um padrão compatível com campanhas que buscam acesso inicial contra serviços expostos e depois expandem controle para a rede interna. Após obter presença no ambiente, o operador executa reconhecimento amplo, mapeia ativos, executa varreduras automatizadas com ferramentas abertas como gogo, movimenta-se lateralmente e instala componentes como NetDraft, CloudSorcerer 3.0 e VShell. O fluxo indica uma operação de pós-exploração orientada a continuidade de acesso, não a impacto destrutivo imediato.
A escolha de ferramentas também tem peso em atribuição e resposta. NetDraft, também chamado de NosyDoor, é uma backdoor baseada em .NET e descrita como variante em C# de FINALDRAFT, também conhecida como Squidoor. Esse conjunto já apareceu associado a outros agrupamentos vinculados à China ou de língua chinesa. CloudSorcerer foi observado contra entidades russas desde maio de 2024, enquanto SNOWLIGHT e variantes relacionadas funcionam como stagers para VShell em operações de diferentes clusters. Essa sobreposição não prova, isoladamente, uma cadeia única de comando, mas indica compartilhamento de ferramental, cooperação operacional ou acesso comum a desenvolvedores e infraestrutura de malware.
A cadeia técnica começa com um acesso inicial ainda não confirmado. Como a campanha é compatível com exploração de aplicações web, a superfície mais provável envolve servidores publicados, portais governamentais, gateways, aplicações de administração, sistemas de atendimento, interfaces de colaboração ou componentes de terceiros expostos à internet. Em um cenário N-day, o operador se aproveita de uma falha já conhecida, mas ainda não corrigida no ambiente alvo. Em um cenário zero-day, a exploração antecede a disponibilidade pública de correção ou de regra de detecção madura. Em ambos os casos, a consequência operacional é semelhante: execução inicial no servidor, implantação de mecanismo de comando ou staging e abertura de caminho para coleta de credenciais, enumeração e pivoteamento.
Depois do foothold, a campanha prioriza reconhecimento interno. A execução de gogo permite varredura automatizada de rede, enumeração de serviços e identificação de caminhos úteis para expansão. Esse tipo de ferramenta costuma deixar sinais em logs de endpoint, fluxos laterais incomuns e conexões para múltiplos destinos internos em janelas curtas. O reconhecimento ajuda o operador a separar servidores de maior valor, controladores de domínio, repositórios internos, bancos de dados, estáções administrativas e segmentos que hospedam aplicações críticas. A movimentação lateral posterior aumenta o risco de comprometimento de credenciais e dificulta delimitar o primeiro host afetado apenas com base no malware final encontrado.
SNOWRUST adiciona uma camada relevante ao fluxo. Ele é descrito como uma variante em Rust de SNOWLIGHT e atua para baixar o payload VShell a partir de um servidor remoto e executá-lo no ambiente comprometido. Esse desenho separa o componente inicial de staging do payload de controle, permitindo trocar infraestrutura ou carga final sem alterar todos os artefatos já implantados. Para a defesa, isso significa que a ausência de VShell em um host não elimina a possibilidade de staging anterior; é necessário buscar também binários intermediários, processos de curta duração, chamadas de rede para servidores externos e execução de arquivos recém-criados em diretórios temporários, de perfil de usuário ou de aplicação web.
A persistência e o acesso alternativo aparecem por meio de backdoors e ferramentas legítimas ou de uso dual. NetDraft e CloudSorcerer fornecem canais de comando e controle customizados, enquanto Stowaway e SoftEther VPN criam rotas adicionais para proxy, túnel e acesso remoto. O uso de uma VPN como SoftEther VPN é especialmente sensível em redes governamentais porque pode se misturar a operações administrativas legítimas se não houver inventário estrito de serviços remotos aprovados. A combinação de malware dedicado e ferramentas de túnel reduz dependência de um único canal, aumenta resiliência após bloqueios parciais e dá ao operador opções para retornar ao ambiente mesmo quando um artefato é removido.
A superfície de risco principal envolve entidades governamentais com aplicações web expostas, serviços remotos administrados de forma descentralizada e redes internas onde servidores comprometidos conseguem alcançar outros segmentos sem controles fortes de segmentação. Como a campanha envolve reconhecimento e movimentação lateral, a exposição não se limita ao primeiro servidor explorado. Hosts de administração, servidores de aplicação, serviços de diretório, repositórios internos, sistemas de arquivos compartilhados, jump servers e máquinas usadas por equipes técnicas podem entrar no caminho de expansão se contas privilegiadas forem reutilizadas ou se houver credenciais armazenadas em texto claro, scripts, tarefas agendadas ou arquivos de configuração.
A reutilização de malware entre grupos avançados amplia a dificuldade de escopo. Em vez de tratar NetDraft, CloudSorcerer, SNOWRUST ou VShell como indicadores isolados, a análise deve considerar um cluster de pós-exploração com múltiplos caminhos de acesso. Um host com Stowaway ou SoftEther VPN instalado sem justificativa operacional pode ser tão importante quanto um host com backdoor customizado, porque o túnel pode manter conectividade mesmo depois que o payload principal é bloqueado. Ambientes com políticas permissivas de instalação de software, ausência de allowlist, logs de processo incompletos e baixa retenção de telemetria de rede terão mais dificuldade para reconstruir a sequência de ações.
Também há uma superfície de risco em dependência de atribuição simplificada. A presença de ferramentas já usadas por outros clusters vinculados à China não deve ser tratada como prova única de autoria por uma equipe específica. Para resposta a incidente, a prioridade deve ser técnica: quais hosts executaram os artefatos, quais contas foram usadas, quais conexões externas ocorreram, quais túneis foram criados e quais dados sensíveis poderiam ser acessados a partir dos pontos comprometidos. A atribuição pode orientar inteligência e priorização estratégica, mas a contenção precisa se basear em evidências locais do ambiente afetado.
- Órgãos governamentais na América do Sul com atividade observada desde pelo menos o fim de 2024.
- Agências governamentais no sudeste europeu com atividade observada em 2025.
- Servidores web, portais e aplicações expostas que possam ser explorados por falhas zero-day ou N-day.
- Segmentos internos alcançáveis a partir do primeiro host comprometido, especialmente administração, diretório, bancos de dados e repositórios.
O hunting deve começar pela linha do tempo de acesso a aplicações expostas. Registros de servidores web, WAF, proxy reverso, EDR e autenticação devem ser correlacionados para identificar requisições anômalas, uploads inesperados, execução de processos filhos por serviços web, criação de arquivos em diretórios graváveis pela aplicação e conexões externas logo após erros, requisições incomuns ou padrões de exploração. Como o vetor inicial não está confirmado, a busca precisa ser comportamental: processos lançados por contas de serviço, shells criados por workers web, binários em caminhos atípicos e varredura interna originada de servidores que normalmente não executam tarefas de descoberta.
Na rede interna, a presença de gogo ou comportamento semelhante deve gerar investigação imediata. Varreduras automatizadas podem aparecer como conexões sequenciais para muitos endereços e portas, tentativas de enumeração de serviços, aumento repentino de falhas de conexão e consultas a serviços internos que o host não acessava antes. Em endpoint, a análise deve procurar criação e execução de binários desconhecidos, especialmente payloads .NET, executáveis em Rust, ferramentas de túnel e processos relacionados a VShell, Stowaway ou SoftEther VPN. Não é suficiente buscar apenas nomes de arquivo, porque operadores podem renomear binários; metadados, caminhos, hash local, assinatura, árvore de processos e comportamento de rede são mais confiáveis.
Para NetDraft e CloudSorcerer, a telemetria de comando e controle deve ser examinada em conjunto com persistência local. Backdoors costumam se esconder atrás de nomes plausíveis, tarefas agendadas, serviços, chaves de inicialização, diretórios de aplicação ou perfis de usuário. A investigação deve identificar processos que mantêm conexões externas recorrentes, executam comandos recebidos, carregam módulos em memória ou iniciam subprocessos sem interação de usuário. Quando SoftEther VPN estiver presente, é necessário verificar se a instalação foi aprovada, qual conta executa o serviço, quais interfaces virtuais foram criadas, quais portas estão ouvindo e se há perfis de conexão que apontem para infraestrutura externa não autorizada.
- Processos filhos incomuns iniciados por servidores web, serviços de aplicação, workers ou contas de serviço.
- Varredura interna em alta velocidade ou conexões sequenciais compatíveis com execução de
gogo. - Execução, instalação ou tráfego associado a
VShell,Stowaway,SoftEther VPN,CloudSorcerer,NetDraftouSNOWRUST. - Conexões externas recorrentes de hosts que não deveriam estabelecer sessões diretas com a internet.
- Serviços, tarefas agendadas, binários recém-criados e interfaces VPN virtuais sem registro de mudança aprovado.
A resposta deve priorizar contenção sem apagar evidências. Em ambientes com suspeita de UAT-8302, o primeiro passo é isolar hosts com sinais de backdoor, túnel, varredura interna ou execução por processos web, preservando memória, disco, logs de EDR, eventos de autenticação e tráfego recente. A remoção imediata de ferramentas como SoftEther VPN ou Stowaway pode interromper um canal ativo, mas deve ser acompanhada de coleta forense para evitar perda de linha do tempo. Depois da contenção inicial, a equipe deve reconstruir quais credenciais foram usadas, quais hosts foram alcançados e se houve criação de contas, alteração de políticas, execução remota ou cópia de dados.
Na camada de exposição, aplicações web publicadas precisam de revisão de vulnerabilidades N-day, correção de versões, redução de superfície e inspeção de artefatos pós-exploração. Sistemas que aceitam upload, executam componentes de terceiros, expõem consoles administrativos ou dependem de frameworks desatualizados devem receber prioridade. WAF e proxy reverso ajudam a reduzir tentativas conhecidas, mas não substituem atualização e validação de configuração. Também é necessário revisar contas de serviço com permissões excessivas, segredos armazenados em arquivos de configuração e credenciais reutilizadas entre servidores, pois a movimentação lateral da campanha depende da capacidade de transformar o primeiro acesso em alcance interno.
A erradicação deve cobrir todos os canais de persistência conhecidos e alternativos. Isso inclui backdoors customizados, stagers, serviços VPN, proxies, tarefas agendadas, serviços do sistema, contas recém-criadas e binários em diretórios graváveis. A rotação de senhas deve ser feita após isolamento dos hosts comprometidos e remoção dos mecanismos de captura ou reutilização, começando por contas administrativas, contas de serviço, credenciais de aplicações e chaves de acesso usadas por automações. Por fim, a validação precisa confirmar ausência de reconexão externa, queda de varreduras internas, inexistência de interfaces VPN não autorizadas e retorno dos servidores a um perfil de comunicação compatível com sua função real.
- Isolar hosts com sinais de backdoor, staging, varredura, túnel ou execução anômala por serviços web.
- Preservar memória, disco, logs de EDR, autenticação, proxy, WAF, DNS e fluxo de rede antes de remover artefatos.
- Corrigir aplicações web expostas, especialmente falhas N-day e componentes com histórico de exploração.
- Bloquear instalação e execução não autorizada de
SoftEther VPN,Stowaway,VShelle ferramentas de varredura. - Rotacionar credenciais administrativas e de serviço após contenção e revisar permissões usadas durante a movimentação lateral.
0 Comentários