A **Cisco Talos** está rastreando a atividade deste grupo de ameaça persistente avançada (APT), denominado **UAT-8302**, que tem visado entidades governamentais na América do Sul desde pelo menos o final de 2024 e agências governamentais no sudeste da Europa em 2025. A pós-exploração envolve a implantação de famílias de malware customizadas. ### Backdoor NetDraft e Arsenal de Malware Compartilhado Um componente chave do kit de ferramentas do UAT-8302 é um backdoor baseado em .NET conhecido como **NetDraft** (também conhecido como NosyDoor). Este malware, uma variante C# do **FINALDRAFT** (também conhecido como Squidoor), foi anteriormente associado a clusters de ameaças como **Ink Dragon**, **CL-STA-0049**, **Earth Alux**, **Jewelbug** e **REF7707**. A **ESET** atribui o uso do NosyDoor a um grupo que ela chama de **LongNosedGoblin**. Curiosamente, o mesmo malware também foi implantado contra organizações de TI russas por **Erudite Mogwai** (também conhecido como Space Pirates e Webworm), rastreado pela empresa russa de cybersecurity **Solar** como LuckyStrike Agent. ### Ferramentas do Ofício Outras ferramentas utilizadas pelo UAT-8302 incluem: * **CloudSorcerer**: Um backdoor observado em ataques visando entidades russas desde maio de 2024. * **SNOWLIGHT**: Um stager **VShell** usado por **UNC5174**, **UNC6586** e **UAT-6382**. * **Deed RAT** (também conhecido como Snappybee): Um sucessor do ShadowPad. * **Zingdoor**: Tanto o Deed RAT quanto o Zingdoor foram implantados pelo **Earth Estries** no final de 2024. * **Draculoader**: Um carregador de shellcode genérico usado para entregar Crowdoor e HemiGate.  ### Colaboração e Acesso-como-Serviço "O malware implantado pelo UAT-8302 o conecta a vários clusters de ameaças divulgados publicamente anteriormente, indicando um relacionamento operacional próximo entre eles, no mínimo", afirmaram pesquisadores da **Talos**. "No geral, os vários artefatos maliciosos implantados pelo UAT-8302 indicam que o grupo tem acesso a ferramentas usadas por outros atores de APT sofisticados, todos os quais foram avaliados como nexo chinês ou falantes de chinês por vários relatórios de terceiros da indústria." Os métodos de acesso inicial empregados pelo adversário são atualmente desconhecidos, mas suspeita-se que envolvam a exploração de vulnerabilidades zero-day e N-day em aplicações web. Uma vez dentro de uma rede, os atacantes realizam reconhecimento extensivo, usam ferramentas de código aberto como `gogo` para varredura automatizada e se movem lateralmente. Isso culmina na implantação do NetDraft, CloudSorcerer (versão 3.0) e VShell. O UAT-8302 também foi observado usando uma variante baseada em Rust do SNOWLIGHT chamada SNOWRUST para baixar e executar o payload VShell. Além do malware personalizado, o ator de ameaça estabelece acesso de backdoor alternativo usando ferramentas de proxy e VPN como Stowaway e SoftEther VPN. A **Trend Micro** destacou um modelo "Premier Pass-as-a-Service", onde o acesso inicial obtido pelo Earth Estries é repassado ao Earth Naga para exploração subsequente, potencialmente mascarando esforços de atribuição. Acredita-se que essa parceria esteja ativa desde pelo menos o final de 2023. "O Premier Pass-as-a-Service fornece acesso direto a ativos críticos, reduzindo o tempo gasto nas fases de reconhecimento, exploração inicial e movimento lateral", explicou a **Trend Micro**. "Embora a extensão total deste modelo ainda não seja conhecida... o acesso é provavelmente restrito a um pequeno círculo de atores de ameaças."