APT-Gruppe UAT-7290 greift Edge- und Netzwerkgeräte zu Spionagezwecken an

Cisco Talos warnt vor einer hochentwickelten Bedrohungsgruppe mit der Bezeichnung UAT-7290, die seit mindestens 2022 aktiv ist und gezielt Telekommunikationsinfrastrukturen in Südasien angreift. In den vergangenen Monaten wurde zudem eine Ausweitung der Aktivitäten auf Südosteuropa beobachtet. Talos stuft die Gruppe mit hoher Sicherheit als China-nahen Advanced Persistent Threat ein.

UAT-7290 fokussiert sich auf Spionageoperationen und den initialen Zugriff auf kritische Infrastrukturen. Auffällig ist dabei eine intensive technische Aufklärung der Zielumgebungen vor den eigentlichen Angriffen. Für die Kompromittierung nutzt die Gruppe vor allem öffentlich verfügbare Exploits für bekannte Schwachstellen in Edge- und Netzwerkgeräten sowie zielgerichtete SSH-Bruteforce-Angriffe.

Zum eingesetzten Werkzeugkasten gehören mehrere Linux-basierte Malware-Familien, darunter RushDrop, DriveSwitch und das modulare Hauptimplantat SilentRaid. Ergänzend kommt die Malware Bulbature zum Einsatz, mit der kompromittierte Systeme in sogenannte Operational Relay Boxes umgewandelt werden. Diese Infrastruktur dient nicht nur eigenen Operationen, sondern vermutlich auch anderen China-nahen Akteuren als Sprungbrett.

Die beobachteten Taktiken und Werkzeuge überschneiden sich stark mit bekannten APT-Kampagnen, unter anderem mit RedLeaves (APT10) und ShadowPad. Auch Parallelen zur Gruppe Red Foxtrot wurden festgestellt, die von Recorded Future mit einer Einheit der chinesischen Volksbefreiungsarmee in Verbindung gebracht wird.

Talos weist darauf hin, dass UAT-7290 aufgrund seiner Rolle als Spionageakteur und Initial-Access-Gruppe eine besondere strategische Bedeutung hat. Die Kombination aus kompromittierten Telekommunikationsnetzen und ORB-Infrastruktur erhöht das Risiko langfristiger, schwer erkennbarer Angriffe auf kritische Kommunikationssysteme erheblich.

Related Posts

NordVPN weist Vorwürfe zu angeblichem Salesforce-Datenleck zurück

NordVPN hat Berichte über einen angeblichen Zugriff auf einen internen Salesforce-Entwicklungsserver zurückgewiesen. Auslöser war ein Datendump in einem Hackerforum, in dem ein Angreifer behauptete, Systeme des VPN-Anbieters kompromittiert zu haben. Nach einer ersten forensischen Analyse sieht NordVPN jedoch keine Hinweise auf einen Einbruch in eigene Server oder die Produktionsinfrastruktur.

Read More

n8n: Mehrere kritische RCE-Schwachstellen ermöglichen vollständige Systemübernahme

In der Workflow-Automatisierungsplattform n8n sind mehrere schwerwiegende Sicherheitslücken entdeckt worden, die es authentifizierten Angreifern erlauben, beliebigen Code auf dem Server auszuführen. Die Schwachstellen betreffen sowohl selbst gehostete n8n-Instanzen als auch n8n Cloud und werden insgesamt als kritisch eingestuft.

Read More

Kritische Livewire-Lücke erlaubt Remote Code Execution in Laravel-Anwendungen

Sicherheitsforscher haben eine schwerwiegende Schwachstelle im Laravel-Framework Livewire offengelegt. Über einen fehleranfälligen Unmarshalling- und Hydration-Mechanismus konnten Angreifer beliebigen PHP-Code auf dem Server ausführen. Die Lücke wurde unter CVE-2025-54068 registriert und betrifft Livewire v3 in großem Umfang.

Read More