Nach den Beobachtungen von Cisco Talos nutzt die Gruppe UAT-9244 in ihrer Kampagne drei zuvor nicht dokumentierte Schadprogrammfamilien, die jeweils unterschiedliche Plattformen ins Visier nehmen.

TernDoor ist eine Windows-Backdoor und wird per DLL-Side-Loading ausgebracht: Die legitime ausführbare Datei wsprint.exe lädt dabei den Schadcode aus der Datei BugSplatRc64.dll, die die finale Nutzlast entschlüsselt und im Arbeitsspeicher ausführt – injiziert in den Prozess msiexec.exe. Eingebettet ist ein Windows-Treiber namens WSPrint.sys, mit dem sich Prozesse beenden, anhalten und fortsetzen lassen. Die Persistenz erreicht die Malware über geplante Tasks und Änderungen an der Windows-Registry, die zugleich dazu dienen, den geplanten Task zu verbergen. TernDoor kann Befehle über eine Remote-Shell ausführen, beliebige Prozesse starten, Dateien lesen und schreiben, Systeminformationen sammeln und sich selbst deinstallieren.

PeerTime ist eine ELF-basierte Linux-Backdoor, die mehrere Architekturen unterstützt (ARM, AARCH, PPC, MIPS). Das deutet laut Cisco Talos darauf hin, dass sie für ein breites Spektrum eingebetteter Systeme und Netzwerkgeräte in Telekommunikationsumgebungen ausgelegt ist. Die Forscher dokumentierten zwei Versionen: eine in C/C++ und eine in Rust. Im Instrumentor-Binary fanden sie zudem Debug-Zeichenketten in vereinfachtem Chinesisch – ein Hinweis auf die Herkunft. Die Nutzlast wird im Arbeitsspeicher entschlüsselt und geladen, der Prozess wird umbenannt, um legitim zu erscheinen. Als Peer-to-Peer-Backdoor nutzt PeerTime das BitTorrent-Protokoll für die Command-and-Control-Kommunikation, lädt Nutzlasten von Peers herunter und führt sie aus; zum Schreiben der Dateien auf dem Host kommt BusyBox zum Einsatz.

BruteEntry schließlich besteht aus einem in Go geschriebenen Instrumentor-Binary und einer Brute-Force-Komponente. Die Aufgabe besteht darin, kompromittierte Geräte in Scan-Knoten zu verwandeln, sogenannte Operational Relay Boxes (ORBs). Über die mit BruteEntry betriebenen Maschinen sucht der Angreifer nach neuen Zielen und versucht, per Brute-Force Zugang zu SSH, Postgres und Tomcat zu erlangen. Die Ergebnisse der Anmeldeversuche werden zusammen mit Statusangaben und Notizen an den C2-Server zurückgemeldet.

In ihrem technischen Bericht beschreiben die Forscher von Cisco Talos die Fähigkeiten der drei Schadprogramme im Detail sowie deren Verteilung und Persistenzmechanismen. Zudem haben sie Kompromittierungsindikatoren (IoCs) zu den beobachteten Aktivitäten von UAT-9244 zusammengestellt.