China-Linked UAT-8302 Targets Governments Using Shared APT Malware Across Regions

1 minute de lecture

Mis à jour : May 05, 2026

Activités du groupe APT UAT-8302 : Collaboration et partage de malwares

Le groupe de menace avancée (APT) UAT-8302, lié à la Chine, cible activement des entités gouvernementales en Amérique du Sud et en Europe du Sud-Est. Ce groupe se distingue par l’utilisation d’une panoplie de malwares sophistiqués partagés avec d’autres clusters de menaces alignés sur les intérêts chinois (tels que Ink Dragon, Earth Estries ou LongNosedGoblin), illustrant une collaboration accrue entre ces entités.

Points clés :

Collaboration tactique : UAT-8302 utilise des outils et backdoors mutualisés au sein d’un écosystème d’acteurs chinois, facilitant les campagnes d’espionnage grâce à un partage de ressources techniques.
Méthodes d’intrusion : Bien que le vecteur d’accès initial reste incertain, l’exploitation de vulnérabilités (0-day et N-day) dans des applications web est suspectée.
Techniques post-exploitation : Le groupe effectue une reconnaissance approfondie du réseau, utilise des outils open-source (ex: gogo) pour le scan, et déploie des backdoors persistantes. Ils utilisent également des outils de proxy et VPN (Stowaway, SoftEther VPN) pour maintenir un accès discret.

Outils et malwares utilisés :

NetDraft (NosyDoor) : Backdoor basée sur .NET.
CloudSorcerer (v3.0) : Backdoor persistante.
SNOWLIGHT / SNOWRUST : Stagers permettant de télécharger et d’exécuter la charge utile VShell.
Autres : Deed RAT (successeur de ShadowPad), Zingdoor et Draculoader.

Vulnérabilités :

L’article ne mentionne pas de CVE spécifiques, mais souligne une dépendance critique à l’exploitation de vulnérabilités web non patchées et de failles de type “N-day”.

Recommandations :

Gestion des vulnérabilités : Appliquer une politique rigoureuse de mise à jour des applications web pour corriger les failles exploitables connues.
Surveillance réseau : Détecter les mouvements latéraux et l’utilisation d’outils de scan réseau inhabituels (comme gogo).
Contrôle des accès : Surveiller étroitement l’installation et l’exécution d’outils de tunneling (VPN, proxy) non autorisés sur le périmètre interne.
Veille sur les IoC : S’appuyer sur les rapports de sécurité pour bloquer les serveurs de commande et de contrôle (C2) associés aux backdoors identifiées (VShell, NetDraft).

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

China-Linked UAT-8302 Targets Governments Using Shared APT Malware Across Regions

Activités du groupe APT UAT-8302 : Collaboration et partage de malwares

Partager sur

Vous pourriez aimer

Weaver E-cology RCE Flaw CVE-2026-22679 Actively Exploited via Debug API

Exploitation active de la faille RCE dans Weaver E-cology

Weaver E-cology critical bug exploited in attacks since March

Exploitation active de la faille critique dans Weaver E-cology

We Scanned 1 Million Exposed AI Services. Heres How Bad the Security Actually Is

Insécurité critique des infrastructures d’IA auto-hébergées

Vimeo data breach exposes personal information of 119,000 people

Fuite de données chez Vimeo : 119 000 utilisateurs exposés via Anodot