9 de enero de 2026

Cisco Talos atribuye campaña de espionaje a UAT-7290 contra telecomunicaciones

Cisco Talos atribuye campaña de espionaje a UAT-7290 contra telecomunicaciones

Cisco Talos atribuyó al actor de amenazas UAT-7290, vinculado a China, una campaña sostenida de espionaje cibernético contra proveedores de telecomunicaciones en Asia del Sur desde al menos 2022, con expansión reciente a Europa del Sudeste. La operación combina malware para Linux y el uso de nodos ORB (Operational Relay Box) para ocultar y escalar accesos.

Detalles de la campaña

UAT-7290 ejecuta reconocimiento técnico exhaustivo antes de atacar y utiliza múltiples vectores para el acceso inicial:

  • Explotación de vulnerabilidades 1-day en dispositivos edge.

  • Fuerza bruta SSH para credenciales débiles o reutilizadas.

Tooling Linux observado

  • RushDrop: dropper inicial.

  • DriveSwitch: ejecutor para activar payloads.

  • SilentRaid: implante modular con capacidades de:

    • Shell remoto

    • Port forwarding

    • Gestión de archivos

Las herramientas se entregan junto a busybox para ejecución sigilosa y portabilidad. Además, el grupo emplea Bulbature para convertir dispositivos comprometidos en nodos ORB, habilitando el acceso a otros actores chinos. En fases posteriores se observaron herramientas Windows (p. ej., RedLeaves y ShadowPad) para escaladas y movimiento lateral.

Objetivos e infraestructura afectada

Los blancos primarios son telecomunicaciones de Asia del Sur, con intrusiones en redes críticas para exfiltrar datos de comunicaciones y mantener persistencia profunda.
SilentRaid resuelve su C2 usando Google DNS (8.8.8.8), camuflando el tráfico dentro de comunicaciones legítimas, y emplea plugins ELF compilados a medida.

Cisco Talos evalúa que UAT-7290 actúa como proveedor de acceso inicial, compartiendo ORBs con otros grupos chinos (p. ej., Stone Panda y RedFoxtrot), lo que eleva el riesgo sistémico para infraestructuras 5G y servicios esenciales.

Recomendaciones de mitigación

  • Parchear de inmediato vulnerabilidades conocidas en dispositivos edge.

  • Monitorear intentos SSH fallidos y anomalías DNS (especial atención a resoluciones hacia 8.8.8.8 desde equipos no autorizados).

  • Implementar EDR para Linux con detecciones de droppers (RushDrop) y cargas ELF modulares.

  • Rotar claves SSH, reforzar MFA donde aplique y segmentar redes perimetrales.

  • Auditar urgentemente dispositivos expuestos a internet.

Medidas estructurales

  • Adoptar zero-trust para edge.

  • Mantener SBOM de firmware y procesos de actualización verificables.

  • Desplegar NIDS con firmas para payloads ELF modulares y técnicas de ORB.

Fuente: https://blog.talosintelligence.com/uat-7290/
← Anterior Cisco corrige vulnerabilidad crítica RCE...
Siguiente → Gusano de WhatsApp propaga Astaroth y go...
Escrito por:
Luis Carreón
📰 Otras noticias del día
CISA incorpora vulnerabilidades activamente explotadas en Microsoft Office y HPE OneView al catálogo KEV
OpenAI presenta ChatGPT Health: IA médica con aislamiento y cifrado de datos
Coolify expone 11 vulnerabilidades críticas que permiten control total en entornos self-hosted
NodeCordRAT: malware en npm usa Discord como C2 y apunta a desarrolladores cripto
Cisco corrige vulnerabilidad crítica RCE en Identity Services Engine tras PoC público
Gusano de WhatsApp propaga Astaroth y golpea a la banca digital en Brasil
📧 Suscríbete

Recibe las últimas noticias de ciberseguridad directamente en tu email.

← Volver al inicio