UAT-8837として追跡され、中国と関連しているとみられる高度な脅威アクターが北米の重要インフラシステムに注力しており、既知およびゼロデイの脆弱性の両方を悪用してアクセスを獲得している。
このハッカー集団は少なくとも2025年から活動しており、その目的は主に標的組織への初期アクセスを得ることにあるようだと、Cisco Talosの研究者は本日公開したレポートで述べている。
以前のレポートで同じ研究者らは、内部でUAT-7290として追跡され、少なくとも2022年から活動している別の中国関連アクターも、アクセス獲得を任務としていると指摘していた。ただし、同攻撃者はスパイ活動にも関与していると述べている。
UAT-8837の攻撃は通常、侵害された認証情報を利用するか、サーバーの脆弱性を悪用することから始まる。
最近の事案では、脅威アクターがViewStateデシリアライゼーションのゼロデイ欠陥であるCVE-2025-53690を、Sitecore製品で悪用しており、未公開のセキュリティ問題へのアクセスを示唆している可能性がある。
Mandiantの研究者は、CVE-2025-53690を2025年9月上旬に、実際に悪用されているゼロデイとして報告しており、その攻撃では「WeepSteel」と名付けられた偵察用バックドアの展開を観測したという。
Cisco Talosは、UAT-8837が中国の作戦と関連していることについて中程度の確信を持っており、研究者の評価は「他の既知の中国系脅威アクターの戦術・技術・手順(TTP)との重複に基づく」としている。
ネットワーク侵害後、UAT-8837はWindowsのネイティブコマンドを使用してホストおよびネットワークの偵察を行い、認証情報の窃取を容易にするためにRDPのRestrictedAdminを無効化する可能性がある。
Cisco Talosのアナリストは、攻撃者の侵害後活動には、認証情報などの機微データを収集するために各種コマンドを実行するハンズオンキーボード操作が含まれると指摘している。
これらの攻撃で観測されたツールについて、UAT-8837は主にオープンソースおよびLiving-off-the-Landのユーティリティを使用し、検知回避のために亜種を継続的に入れ替えている。Cisco Talosのレポートで取り上げられているツールの一部は次のとおり:
- GoTokenTheft, Rubeus, Certipy – アクセストークンの窃取、Kerberosの悪用、Active Directory関連の認証情報および証明書データの収集
- SharpHound, Certipy, setspn, dsquery, dsget – Active Directoryのユーザー、グループ、SPN、サービスアカウント、ドメイン間の関係を列挙
- Impacket, Invoke-WMIExec, GoExec, SharpWMI – WMIおよびDCOM経由でリモートシステム上のコマンドを実行。検知により実行が阻止されると、アクターはツールを切り替える
- Earthworm – 逆向きSOCKSトンネルを作成し、内部システムを攻撃者管理のインフラに露出させる
- DWAgent – アクセス維持と追加ペイロードの展開のためのリモート管理ツール
- Windows commands and utilities – パスワードや設定を含む、ホスト、ネットワーク、セキュリティポリシー情報を収集
分析対象となった侵入で実行されたコマンドから、研究者らは攻撃者が認証情報、ADのトポロジーと信頼関係、ならびにセキュリティポリシーと構成を標的にしていると結論づけた。
少なくとも一度、ハッカーは被害者が使用していた製品からDLLを持ち出しており、将来的なトロイの木馬化やサプライチェーン攻撃に利用される可能性がある。
Cisco Talosのレポートでは、攻撃で使用されたコマンドやツールの例に加え、UAT-8837の活動に関する侵害指標の一覧も提供している。
