**Cisco Talos** suit l'activité de ce groupe de menaces persistantes avancées (APT), baptisé **UAT-8302**, qui cible des entités gouvernementales en Amérique du Sud depuis au moins fin 2024 et des agences gouvernementales en Europe du Sud-Est en 2025. L'après-exploitation implique le déploiement de familles de malwares fabriquées sur mesure. ### NetDraft Backdoor et Arsenal de Malwares Partagé Un composant clé de la boîte à outils de UAT-8302 est une backdoor basée sur .NET connue sous le nom de **NetDraft** (alias NosyDoor). Ce malware, une variante C# de **FINALDRAFT** (alias Squidoor), a été précédemment associé à des clusters de menaces tels que **Ink Dragon**, **CL-STA-0049**, **Earth Alux**, **Jewelbug**, et **REF7707**. **ESET** attribue l'utilisation de NosyDoor à un groupe qu'il appelle **LongNosedGoblin**. Fait intéressant, le même malware a également été déployé contre des organisations informatiques russes par **Erudite Mogwai** (alias Space Pirates et Webworm), suivi par la société russe de cybersécurité **Solar** sous le nom de LuckyStrike Agent. ### Outils du Métier Parmi les autres outils utilisés par UAT-8302, on trouve : * **CloudSorcerer** : Une backdoor observée dans des attaques ciblant des entités russes depuis mai 2024. * **SNOWLIGHT** : Un stager **VShell** utilisé par **UNC5174**, **UNC6586**, et **UAT-6382**. * **Deed RAT** (alias Snappybee) : Un successeur de ShadowPad. * **Zingdoor** : Deed RAT et Zingdoor ont été déployés par **Earth Estries** fin 2024. * **Draculoader** : Un chargeur de shellcode générique utilisé pour livrer Crowdoor et HemiGate.  ### Collaboration et Accès en tant que Service « Les malwares déployés par UAT-8302 le connectent à plusieurs clusters de menaces divulgués publiquement auparavant, indiquant au minimum une relation opérationnelle étroite entre eux », ont déclaré les chercheurs de **Talos**. « Dans l'ensemble, les divers artefacts malveillants déployés par UAT-8302 indiquent que le groupe a accès à des outils utilisés par d'autres acteurs APT sophistiqués, qui ont tous été évalués comme étant liés à la Chine ou parlant chinois par divers rapports d'experts tiers. » Les méthodes d'accès initiales employées par l'adversaire sont actuellement inconnues, mais on soupçonne qu'elles impliquent l'exploitation de vulnérabilités zero-day et N-day dans les applications web. Une fois à l'intérieur d'un réseau, les attaquants effectuent une reconnaissance approfondie, utilisent des outils open-source comme `gogo` pour le scan automatisé et se déplacent latéralement. Cela culmine avec le déploiement de NetDraft, CloudSorcerer (version 3.0) et VShell. UAT-8302 a également été observé utilisant une variante de SNOWLIGHT écrite en Rust, appelée SNOWRUST, pour télécharger et exécuter le payload VShell. En plus des malwares personnalisés, l'acteur de la menace établit un accès backdoor alternatif en utilisant des outils proxy et VPN tels que Stowaway et SoftEther VPN. **Trend Micro** a mis en évidence un modèle « Premier Pass-as-a-Service », où l'accès initial obtenu par Earth Estries est transmis à Earth Naga pour une exploitation ultérieure, masquant potentiellement les efforts d'attribution. Ce partenariat serait actif depuis au moins fin 2023. « Premier Pass-as-a-Service offre un accès direct à des actifs critiques, réduisant le temps passé sur la reconnaissance, l'exploitation initiale et les phases de mouvement latéral », a expliqué **Trend Micro**. « Bien que l'étendue complète de ce modèle ne soit pas encore connue… l'accès est probablement restreint à un petit cercle d'acteurs de la menace. »