**Cisco Talos** verfolgt die Aktivitäten dieser fortgeschrittenen persistenten Bedrohungsgruppe (APT), die als **UAT-8302** bezeichnet wird und seit mindestens Ende 2024 Regierungsstellen in Südamerika und seit 2025 Regierungsbehörden in Südosteuropa ins Visier nimmt. Nach der Kompromittierung (Post-Exploitation) werden benutzerdefinierte Malware-Familien eingesetzt. ### NetDraft Backdoor und gemeinsames Malware-Arsenal Ein Schlüsselbestandteil des Werkzeugkastens von UAT-8302 ist eine .NET-basierte Backdoor namens **NetDraft** (auch bekannt als NosyDoor). Diese Malware, eine C#-Variante von **FINALDRAFT** (auch bekannt als Squidoor), wurde bereits zuvor mit Bedrohungsclustern wie **Ink Dragon**, **CL-STA-0049**, **Earth Alux**, **Jewelbug** und **REF7707** in Verbindung gebracht. **ESET** schreibt die Nutzung von NosyDoor einer Gruppe zu, die es **LongNosedGoblin** nennt. Interessanterweise wurde dieselbe Malware auch gegen russische IT-Organisationen von **Erudite Mogwai** (auch bekannt als Space Pirates und Webworm) eingesetzt, die von der russischen Cybersicherheitsfirma **Solar** als LuckyStrike Agent verfolgt wird. ### Werkzeuge des Handwerks Weitere von UAT-8302 verwendete Werkzeuge sind: * **CloudSorcerer**: Eine Backdoor, die seit Mai 2024 bei Angriffen auf russische Ziele beobachtet wurde. * **SNOWLIGHT**: Ein **VShell**-Stager, der von **UNC5174**, **UNC6586** und **UAT-6382** verwendet wird. * **Deed RAT** (auch bekannt als Snappybee): Ein Nachfolger von ShadowPad. * **Zingdoor**: Sowohl Deed RAT als auch Zingdoor wurden Ende 2024 von **Earth Estries** eingesetzt. * **Draculoader**: Ein generischer Shellcode-Loader, der zur Bereitstellung von Crowdoor und HemiGate verwendet wird.  ### Zusammenarbeit und Access-as-a-Service „Die von UAT-8302 eingesetzte Malware verbindet die Gruppe mit mehreren zuvor öffentlich bekannt gewordenen Bedrohungsclustern, was zumindest auf eine enge operative Beziehung zwischen ihnen hindeutet“, erklärten **Talos**-Forscher. „Insgesamt deuten die verschiedenen von UAT-8302 eingesetzten bösartigen Artefakte darauf hin, dass die Gruppe Zugang zu Werkzeugen hat, die von anderen hochentwickelten APT-Akteuren verwendet werden, die in verschiedenen Branchenberichten von Drittanbietern als China-Nexus oder chinesischsprachig eingestuft wurden.“ Die anfänglichen Zugriffsmethoden des Angreifers sind derzeit unbekannt, es wird jedoch vermutet, dass sie die Ausnutzung von zero-day und N-day Schwachstellen in Webanwendungen beinhalten. Sobald sie sich im Netzwerk befinden, führen die Angreifer umfangreiche Aufklärungsmaßnahmen durch, nutzen Open-Source-Tools wie `gogo` für automatisiertes Scannen und bewegen sich lateral. Dies gipfelt in der Bereitstellung von NetDraft, CloudSorcerer (Version 3.0) und VShell. UAT-8302 wurde auch dabei beobachtet, eine Rust-basierte Variante von SNOWLIGHT namens SNOWRUST zu verwenden, um die VShell-Payload herunterzuladen und auszuführen. Zusätzlich zur benutzerdefinierten Malware etabliert der Bedrohungsakteur alternative Backdoor-Zugänge mithilfe von Proxy- und VPN-Tools wie Stowaway und SoftEther VPN. **Trend Micro** hob ein „Premier Pass-as-a-Service“-Modell hervor, bei dem der von Earth Estries erlangte anfängliche Zugriff an Earth Naga weitergegeben wird, um nachfolgende Ausnutzungen durchzuführen, was möglicherweise die Zuordnungsbemühungen verschleiert. Diese Partnerschaft soll seit mindestens Ende 2023 aktiv sein. „Premier Pass-as-a-Service bietet direkten Zugriff auf kritische Assets und reduziert die Zeit, die für Aufklärung, anfängliche Ausnutzung und laterale Bewegung aufgewendet wird“, erklärte **Trend Micro**. „Obwohl das volle Ausmaß dieses Modells noch nicht bekannt ist… ist der Zugang wahrscheinlich auf einen kleinen Kreis von Bedrohungsakteuren beschränkt.“