Cisco Talos verfolgt die Angriffe unter der Kennung UAT-8302. Betroffen sind Regierungsstellen in Südamerika seit mindestens Ende 2024 sowie staatliche Einrichtungen in Südosteuropa im Jahr 2025. Die Post-Exploitation-Phase ist nach Angaben der Forscher durch den Einsatz maßgeschneiderter Schadprogramm-Familien geprägt, die auch andere China-nahe Gruppen nutzen.

Im Zentrum steht die in .NET entwickelte Backdoor NetDraft, auch bekannt als NosyDoor. Dabei handelt es sich um eine C#-Variante von FINALDRAFT (auch Squidoor), die zuvor mit den Bedrohungsclustern Ink Dragon, CL-STA-0049, Earth Alux, Jewelbug und REF7707 verknüpft wurde. ESET ordnet den Einsatz von NosyDoor einer Gruppe zu, die das Unternehmen LongNosedGoblin nennt. Dieselbe Schadsoftware wurde laut dem russischen Sicherheitsunternehmen Solar zudem gegen russische IT-Organisationen durch den Akteur Erudite Mogwai (auch Space Pirates und Webworm) eingesetzt; Solar bezeichnet sie als LuckyStrike Agent.

“Die von UAT-8302 eingesetzte Malware verbindet die Gruppe mit mehreren zuvor öffentlich beschriebenen Bedrohungsclustern, was zumindest auf eine enge Arbeitsbeziehung zwischen ihnen hindeutet”, schreiben die Talos-Forscher Jungsoo An, Asheer Malhotra und Brandon White. Die eingesetzten Artefakte zeigten, dass die Gruppe Zugang zu Werkzeugen anderer hochentwickelter APT-Akteure habe, die von verschiedenen Branchenberichten als China-nah oder chinesischsprachig eingestuft wurden.

Welche Methoden für den initialen Zugang verwendet werden, ist nicht bekannt. Talos vermutet das Ausnutzen von Zero-Day- und N-Day-Exploits in Webanwendungen. Nach dem Eindringen kartieren die Angreifer das Netzwerk umfassend, nutzen quelloffene Werkzeuge wie gogo für automatisiertes Scannen und bewegen sich lateral durch die Umgebung. Am Ende der Angriffsketten stehen NetDraft, CloudSorcerer (Version 3.0) und VShell.

Zudem beobachtete Talos den Einsatz einer in Rust geschriebenen SNOWLIGHT-Variante namens SNOWRUST, die die VShell-Nutzlast von einem entfernten Server herunterlädt und ausführt. Neben eigener Malware richtet der Akteur über Proxy- und VPN-Werkzeuge wie Stowaway und SoftEther VPN zusätzliche Backdoor-Zugänge ein.

Die Erkenntnisse fügen sich in einen Trend zunehmender Zusammenarbeit zwischen China-nahen Gruppen. Im Oktober 2025 beschrieb Trend Micro ein als Premier Pass-as-a-Service bezeichnetes Modell, bei dem von Earth Estries erlangter Erstzugang an Earth Naga zur weiteren Ausnutzung übergeben wird, was die Zuordnung von Angriffen erschwert. Diese Partnerschaft soll laut Trend Micro mindestens seit Ende 2023 bestehen.

“Premier Pass-as-a-Service bietet direkten Zugang zu kritischen Ressourcen und verkürzt die Zeit für Aufklärung, initiale Ausnutzung und laterale Bewegung”, so Trend Micro. Angesichts der bislang geringen Zahl beobachteter Vorfälle und des erheblichen Enttarnungsrisikos sei der Zugang vermutlich auf einen kleinen Kreis von Akteuren beschränkt.