UAT-8837: il “China-nexus” che punta tutto sull’Initial Access (e perché è un problema)

Cisco Talos sta monitorando UAT-8837, un cluster di attività valutato con “medium confidence” come riconducibile all’ecosistema China-nexus APT, con un profilo che si distingue per un obiettivo molto preciso: ottenere accesso iniziale a organizzazioni ad alto valore e preparare il terreno per intrusioni più profonde. Il punto chiave non è solo chi colpisce, ma come lo fa: l’operazione sembra costruita per aprire porte, creare canali di rientro e mappare l’ambiente con rapidità, sfruttando una combinazione di exploit server-side e credenziali compromesse, spesso con tooling open-source e tecniche già “collaudate” in campagne affini.

Una minaccia “silenziosa” che cerca varchi nelle infrastrutture critiche

Talos colloca l’attività del gruppo almeno dal 2025, con un focus chiaro su settori di infrastrutture critiche in Nord America. A prima vista la selezione dei target può sembrare discontinua, ma il pattern operativo racconta altro: l’interesse non è “fare rumore”, bensì mettere un piede nella rete, capire cosa c’è dentro e costruire accessi multipli che resistano nel tempo.

Initial access: exploit e credenziali, con una marcia in più (zero-day)

Il tratto più interessante è la capacità di alternare n-day e zero-day per entrare. L’episodio più recente citato da Talos riguarda lo sfruttamento di una vulnerabilità zero-day in Sitecore legata a deserializzazione ViewState (CVE-2025-53690) per ottenere l’accesso iniziale. Questo elemento è rilevante perché sposta la minaccia su un piano più alto: non stiamo parlando solo di opportunismo su sistemi “dimenticati”, ma di una postura che può includere capacità d’attacco avanzate e finestre di sfruttamento molto rapide.

E anche quando non si passa dall’exploit, resta l’altra via classica e devastante: credenziali valide. Password riutilizzate, leakage, accessi venduti o riciclati: per un attore focalizzato sull’entry-point, spesso basta poco per trasformare un “account buono” in un ingresso pulito e poco rumoroso.

Dopo l’ingresso: ricognizione rapida e “hands-on-keyboard”

Una volta dentro, UAT-8837 sembra muoversi con un approccio molto pratico e diretto: comandi base per capire dove si trova e cosa può fare (processi, rete, utenti, sessioni), poi subito l’attenzione si sposta su un tema: muoversi meglio e muoversi di più.

Qui entra in scena una scelta significativa: disabilitare RestrictedAdmin per RDP tramite registry. È una modifica che può favorire il recupero o l’esposizione di credenziali utili al movimento laterale e, soprattutto, rende l’ambiente più “comodo” per chi deve saltare da una macchina all’altra con rapidità.

Talos nota anche directory di staging ricorrenti (Desktop dell’utente, C:\Windows\Temp\, percorsi pubblici come cartelle “music”), un dettaglio piccolo ma utile: in molte intrusioni, la ripetizione degli stessi “posti” dove scaricare tool e output è uno dei segnali più tracciabili a posteriori.

Il cuore dei TTP

Il gruppo tende a usare strumenti open-source e utility note, ma con una logica precisa: raccogliere informazioni sensibili (soprattutto credenziali e Active Directory), aprire tunnel, preparare accessi alternativi e ridurre la dipendenza da un solo canale.

Tra gli strumenti osservati spiccano:

• Earthworm, usato come tunneling/proxy per esporre servizi interni verso infrastruttura remota controllata dall’attaccante (classico nei playbook di vari attori sinofoni).
• SharpHound (raccolta dati AD / BloodHound) per capire relazioni, privilegi e percorsi di escalation.
• Certipy per discovery/abuso in ambienti Active Directory Certificate Services: una mina d’oro quando si cercano escalation pulite e persistenza.
• Rubeus (Kerberos abuse), tipicamente associato a operazioni mirate su ticket e autenticazioni.
• Tentativi con Impacket, e quando bloccato l’uso di alternative come Invoke-WMIExec e tool di esecuzione remota in Go come GoExec, segnale di un operatore che “adatta” la scelta in base a ciò che passa sotto EDR.
• DWAgent, un remote admin tool che facilita rientro e controllo operativo del sistema compromesso.
• GoTokenTheft, indicato come utility per rubare token e supportare azioni con privilegi elevati in alcune condizioni operative.

Il quadro che emerge è quello di un attore che non punta a malware esotici per forza, ma a un set di strumenti “di officina”: se uno viene bloccato, ne prova un altro. Questo approccio è estremamente coerente con chi ha un incarico specifico: aprire accessi e lasciare l’ambiente pronto per una fase successiva, anche condotta da altri team.

Obiettivo: accessi multipli, persistenza “semplice”, dominio sotto osservazione

UAT-8837 non sembra accontentarsi dell’host iniziale: la priorità è ottenere visibilità su dominio, privilegi e policy. Talos evidenzia attività di enumerazione su gruppi, utenti, domain admins, controller e SPN, oltre a esportazione di configurazioni di sicurezza (es. via secedit) per capire esattamente “quanto è duro” l’ambiente e dove può cedere.

Un dettaglio da non sottovalutare è la creazione o manipolazione di account: aggiungere utenti o inserirli in gruppi locali è una delle forme più semplici e spesso più efficaci di persistenza, perché può “assomigliare” a operazioni amministrative legittime se non si hanno controlli e alert ben tarati.

Talos cita anche un episodio in cui sono stati esfiltrati file DLL legati a prodotti della vittima, ipotizzando il rischio futuro di trojanizzazione o reverse engineering per trovare vulnerabilità: è la parte che trasforma l’incidente da “intrusione IT” a potenziale problema di supply chain.

Perché questo profilo è pericoloso

UAT-8837 è un esempio perfetto di quanto possa essere strategico un attore che lavora sull’ingresso. Se il compito principale è ottenere initial access, il danno non si misura solo nell’esfiltrazione immediata: il vero rischio è la pre-posizione. Una rete violata oggi può diventare un asset operativo domani, nel momento geopoliticamente più utile, o può essere “passata di mano” a un altro gruppo per escalation e impatto.

In altre parole: anche quando l’attore non distrugge nulla, sta preparando la possibilità che qualcuno lo faccia.