**Cisco Talos** está rastreando la actividad de este grupo de amenaza persistente avanzada (APT), denominado **UAT-8302**, que ha estado atacando entidades gubernamentales en Sudamérica desde al menos finales de 2024 y agencias gubernamentales en Europa del sureste en 2025. La post-explotación implica el despliegue de familias de malware hechas a medida. ### Puerta Trasera NetDraft y Arsenal de Malware Compartido Un componente clave del kit de herramientas de UAT-8302 es una puerta trasera basada en .NET conocida como **NetDraft** (también conocida como NosyDoor). Este malware, una variante en C# de **FINALDRAFT** (también conocida como Squidoor), se ha asociado previamente con clústeres de amenazas como **Ink Dragon**, **CL-STA-0049**, **Earth Alux**, **Jewelbug** y **REF7707**. **ESET** atribuye el uso de NosyDoor a un grupo que denomina **LongNosedGoblin**. Curiosamente, el mismo malware también ha sido desplegado contra organizaciones de TI rusas por **Erudite Mogwai** (también conocido como Space Pirates y Webworm), rastreado por la empresa rusa de ciberseguridad **Solar** como LuckyStrike Agent. ### Herramientas del Oficio Otras herramientas utilizadas por UAT-8302 incluyen: * **CloudSorcerer**: Una puerta trasera observada en ataques contra entidades rusas desde mayo de 2024. * **SNOWLIGHT**: Un stager de **VShell** utilizado por **UNC5174**, **UNC6586** y **UAT-6382**. * **Deed RAT** (también conocido como Snappybee): Un sucesor de ShadowPad. * **Zingdoor**: Tanto Deed RAT como Zingdoor han sido desplegados por **Earth Estries** a finales de 2024. * **Draculoader**: Un cargador de shellcode genérico utilizado para entregar Crowdoor y HemiGate.  ### Colaboración y Acceso como Servicio "El malware desplegado por UAT-8302 lo conecta con varios clústeres de amenazas divulgados públicamente anteriormente, lo que indica una estrecha relación operativa entre ellos, como mínimo", declararon los investigadores de **Talos**. "En general, los diversos artefactos maliciosos desplegados por UAT-8302 indican que el grupo tiene acceso a herramientas utilizadas por otros actores APT sofisticados, todos los cuales han sido evaluados como de nexo chino o de habla china por varios informes de terceros de la industria". Los métodos de acceso inicial empleados por el adversario son actualmente desconocidos, pero se sospecha que implican la explotación de vulnerabilidades zero-day y N-day en aplicaciones web. Una vez dentro de una red, los atacantes realizan una extensa labor de reconocimiento, utilizan herramientas de código abierto como `gogo` para escaneo automatizado y se mueven lateralmente. Esto culmina en el despliegue de NetDraft, CloudSorcerer (versión 3.0) y VShell. UAT-8302 también ha sido observado utilizando una variante de SNOWLIGHT basada en Rust llamada SNOWRUST para descargar y ejecutar el payload de VShell. Además del malware personalizado, el actor de amenazas establece un acceso de puerta trasera alternativo utilizando herramientas de proxy y VPN como Stowaway y SoftEther VPN. **Trend Micro** destacó un modelo de "Premier Pass-as-a-Service", donde el acceso inicial obtenido por Earth Estries se transfiere a Earth Naga para su posterior explotación, enmascarando potencialmente los esfuerzos de atribución. Se cree que esta asociación ha estado activa desde al menos finales de 2023. "Premier Pass-as-a-Service proporciona acceso directo a activos críticos, reduciendo el tiempo dedicado a las fases de reconocimiento, explotación inicial y movimiento lateral", explicó **Trend Micro**. "Aunque el alcance completo de este modelo aún no se conoce... el acceso probablemente está restringido a un pequeño círculo de actores de amenazas."