Die mit China verbundene Hackergruppe UAT-9244 zielt seit 2024 mit drei neuen Malware-Familien auf Telekommunikationsanbieter in Südamerika ab und kompromittiert dabei Windows-, Linux- und Netzwerk-Geräte.
Cisco-Talos-Forscher haben eine bislang unbekannte, mit dem chinesischen Staat verbundene Hackergruppe namens UAT-9244 identifiziert, die gezielt Telekommunikationsunternehmen in Südamerika angegriffen hat. Die Angreifer stehen in enger Verbindung zu den Hacker-Kollektiven FamousSparrow und Tropic Trooper, werden aber als separate Aktivitätsgruppe eingestuft.
Die neue Kampagne zeichnet sich durch drei zuvor undokumentierte Malware-Familien aus: TernDoor ist ein Windows-Backdoor, der über DLL-Seitenladen verbreitet wird und die legitime Datei wsprint.exe missbraucht. PeerTime fungiert als Linux-Backdoor, der das BitTorrent-Protokoll für Command-and-Control-Kommunikation nutzt und mehrere Architekturen wie ARM, AARCH, PPC und MIPS unterstützt. Die dritte Komponente ist BruteEntry, ein Go-basiertes Brute-Force-Scanner-Tool, das kompromittierte Geräte in Scan-Knoten umwandelt.
TernDoor wird durch eine legitime ausführbare Datei geladen und dekryptiert die Payload im Speicher. Der Malware liegt zusätzlich der Windows-Treiber WSPrint.sys bei, mit dem sich Prozesse beenden, unterbrechen und fortsetzen lassen. Die Persistenz wird durch geplante Tasks und Registry-Änderungen gewährleistet.
Bei PeerTime dokumentierten die Forscher zwei Varianten — eine in C/C++ geschriebene und eine auf Rust basierende Version. Das Vorhandensein von chinesischen Debug-Strings deutet auf die Herkunft der Malware hin. Das Tool nutzt das BitTorrent-Netzwerk zur dezentralen Kommunikation und kann auf dem Zielgerät Dateien via BusyBox hinterlegen.
BruteEntry verwendet Brute-Force-Attacken gegen SSH, PostgreSQL und Tomcat, um neue Zugriffspunkte zu finden. Die Angreifer nutzen diese kompromittierten Maschinen als Operational Relay Boxes (ORBs), um Netzwerke auszuspähen und ihre Infrastruktur zu erweitern.
Cisco Talos hat umfassende Indikatoren für Kompromittierung (IoCs) veröffentlicht, die es Sicherheitsteams ermöglichen, die Angriffe frühzeitig zu erkennen und zu blockieren. Die Forscher konnten zwar eine oberflächliche Ähnlichkeit mit der Salt-Typhoon-Gruppe feststellen, eine direkte Verbindung ließ sich aber nicht etablieren.
Quelle: BleepingComputer