2025年初頭以降、Cisco Talosの脅威インテリジェンス実務者は、UAT-8837と指定された集団による持続的な作戦を記録してきました。この主体は、手法およびインフラにおいて既知の地域的な敵対者と顕著な重複が見られることから、中国の利害に帰属すると評価されています。彼らの攻撃の焦点は主として北米の重要インフラ分野に向けられており、主要目的は高価値資産への初期アクセスを確保することです。侵害が確立されると、同グループは複合的なコマンドチャネルを構築し、侵害環境に対する長期的な支配を維持します。
初期の足掛かりを得るために、UAT-8837は ソフトウェアの脆弱性と流出した認証情報を組み合わせて活用します。最近の侵入では、SiteCore製品に存在するゼロデイ欠陥CVE-2025-53690が悪用されました。侵害に成功すると、攻撃者はシステム構成やユーザーIDに関する包括的なテレメトリ収集を開始し、防御機構を無力化し、システムコンソール経由でコマンドを実行します。ツールキットを秘匿するために、OS内の一時的なディレクトリや公開ディレクトリを利用します。
UAT-8837は広範かつ進化し続ける兵器庫を用い、ヒューリスティック検知を回避するためにソフトウェアのバージョンを頻繁に反復します。レパートリーには、認証トークンを流出させるGoTokenTheft、内部ネットワークと外部のコマンドサーバー間にトンネルを構築するEarthworm、リモート管理用のDWAgent、Active Directoryデータを体系的に収集するSharpHoundが含まれます。さらに、Impacket、GoExec、Rubeusの展開により、ラテラルムーブメント、なりすましIDでのコマンド実行、Kerberosプロトコルとの高度な相互作用が可能になります。
侵害されたホスト上では、dsquery、dsget、secedit、setspnといったネイティブの管理ユーティリティを用いた体系的な偵察の痕跡が確認されています。これらの正規のシステムツールを転用することで、同集団は効果的に存在を隠蔽します。特に憂慮すべき動きとして、被害者の独自製品に関連するダイナミックリンクライブラリ(DLL)を流出させている様子が観測されました。これは、将来のアップデートに悪意あるコードを注入してサプライチェーン侵害を画策する、あるいはこれらのコンポーネントに対してオフラインで脆弱性調査を行うという戦略的意図を示唆します。
専用ユーティリティの利用にとどまらず、UAT-8837は不正なユーザーアカウントを生成し、管理者グループへの所属によって権限を昇格させることで永続性を確保します。また、どのバージョンがセキュリティソリューションに検知されにくいかを見極めるため、ツールのさまざまな反復版を綿密にテストします。これらの活動に対抗するため、CiscoはClamAVシグネチャWin.Malware.Earthwormの導入に加え、Snortルール61883、61884、63727、63728、300585の適用を推奨しています。同グループは適応力が高いものの、これらの防御プロトコルを厳格に適用することで、この種の侵入に対するセキュリティ態勢を大幅に強化できます。
