Cisco Talos warnt vor einer hochentwickelten Bedrohungsgruppe mit der Bezeichnung UAT-7290, die seit mindestens 2022 aktiv ist und gezielt Telekommunikationsinfrastrukturen in Südasien angreift. In den vergangenen Monaten wurde zudem eine Ausweitung der Aktivitäten auf Südosteuropa beobachtet. Talos stuft die Gruppe mit hoher Sicherheit als China-nahen Advanced Persistent Threat ein.
UAT-7290 fokussiert sich auf Spionageoperationen und den initialen Zugriff auf kritische Infrastrukturen. Auffällig ist dabei eine intensive technische Aufklärung der Zielumgebungen vor den eigentlichen Angriffen. Für die Kompromittierung nutzt die Gruppe vor allem öffentlich verfügbare Exploits für bekannte Schwachstellen in Edge- und Netzwerkgeräten sowie zielgerichtete SSH-Bruteforce-Angriffe.
Zum eingesetzten Werkzeugkasten gehören mehrere Linux-basierte Malware-Familien, darunter RushDrop, DriveSwitch und das modulare Hauptimplantat SilentRaid. Ergänzend kommt die Malware Bulbature zum Einsatz, mit der kompromittierte Systeme in sogenannte Operational Relay Boxes umgewandelt werden. Diese Infrastruktur dient nicht nur eigenen Operationen, sondern vermutlich auch anderen China-nahen Akteuren als Sprungbrett.
Die beobachteten Taktiken und Werkzeuge überschneiden sich stark mit bekannten APT-Kampagnen, unter anderem mit RedLeaves (APT10) und ShadowPad. Auch Parallelen zur Gruppe Red Foxtrot wurden festgestellt, die von Recorded Future mit einer Einheit der chinesischen Volksbefreiungsarmee in Verbindung gebracht wird.
Talos weist darauf hin, dass UAT-7290 aufgrund seiner Rolle als Spionageakteur und Initial-Access-Gruppe eine besondere strategische Bedeutung hat. Die Kombination aus kompromittierten Telekommunikationsnetzen und ORB-Infrastruktur erhöht das Risiko langfristiger, schwer erkennbarer Angriffe auf kritische Kommunikationssysteme erheblich.
