Collegato alla Cina, è dal 2024 che il gruppo ha preso di mira enti governativi in Sud America e in Europa sudorientale
Cisco Talos, la più grande organizzazione privata al mondo dedicata all’intelligence per la cybersecurity, ha identificato una nuova campagna di cyberspionaggio attribuita a UAT-8302, un gruppo Advanced Persistent Threat (APT) ritenuto collegato alla Cina e attivo contro enti governativi in Sud America e nell’Europa sudorientale. Secondo gli esperti di Cisco Talos i, il gruppo avrebbe operato almeno dalla fine del 2024 utilizzando un arsenale avanzato di malware personalizzati, oltre a strumenti offensivi già noti.
L’analisi di Talos evidenzia come UAT-8302 sia specializzato nel mantenere accessi persistenti e prolungati all’interno delle reti compromesse. Gli attaccanti utilizzano tecniche sofisticate di ricognizione, furto di credenziali e movimento laterale, sfruttando spesso piattaforme cloud legittime per comunicare con i server di comando e controllo, rendendo così più complesso il rilevamento delle attività malevole.
I ricercatori sottolineano come il gruppo abbia dimostrato elevate capacità operative nell’eludere i controlli di sicurezza tradizionali, sfruttando strumenti legittimi di amministrazione remota e servizi cloud comunemente utilizzati dalle organizzazioni. Questo approccio consente ai criminali informatici di mimetizzarsi nel traffico normale di rete e prolungare la permanenza all’interno dei sistemi compromessi.
L’attività di UAT-8302 conferma la crescente pressione cyber nei confronti di istituzioni pubbliche e infrastrutture strategiche a livello internazionale, evidenziando al contempo il crescente livello di sofisticazione delle minacce sponsorizzate da Stati, sempre più orientate verso operazioni di intelligence e accesso strategico alle informazioni.
Cisco Talos invita organizzazioni pubbliche e private a potenziare le attività di monitoraggio, la segmentazione delle reti e le capacità di threat hunting, adottando al contempo controlli avanzati per la protezione delle identità digitali e la gestione degli accessi privilegiati. In un contesto geopolitico sempre più instabile, il cyberspazio si conferma infatti uno dei principali terreni di competizione strategica tra Stati e gruppi di criminali informatici.
