Sommario
L’indagine di Cisco Talos identifica UAT-7237 come un APT cinese attivo almeno dal 2022, focalizzato su infrastrutture di web hosting a Taiwan e capace di condurre intrusioni a persistenza prolungata in ambienti enterprise e cloud. Il gruppo mostra sovrapposizioni con UAT-5918, ma adotta TTP e catene di esecuzione proprie, integrando loader come SoundBill, backdoor Cobalt Strike e tecniche di credential access basate su Mimikatz personalizzato. Le intrusioni documentate includono accesso iniziale tramite vulnerabilità note, ricognizione interna con strumenti living-off-the-land e movimenti laterali orchestrati con SharpWMI e FScan, fino alla stabilizzazione della persistenza tramite SoftEther VPN e accessi RDP. Tra gli IOC emergono l’IP 141.164.50.141, richieste HTTP verso /sdksdk608/win-x64.rar e un endpoint AWS Lambda usato per il C2. Le evidenze tecniche, sommate alla lingua cinese presente nei tool e nei commenti di codice, consolidano l’attribuzione e segnalano rischi sistemici per provider, clienti e servizi mission-critical. Le organizzazioni in ambito hosting, VPN e cloud devono prioritizzare patch rapide, telemetria comportamentale e segmentazione della rete, adottando controlli di detection su beacon HTTPS e carichi fileless, con monitoraggio costante delle anomalie WMI e autenticazioni RDP.
Profilo e attribuzione di UAT-7237
UAT-7237 viene descritto come sottogruppo riconducibile alla galassia di operatori cinesi emersi dal 2022, con capacità di personalizzazione di strumenti open-source e con una curva di apprendimento che indica sviluppo interno continuo. L’attribuzione si fonda su TTP ripetuti, sul riuso di basi di codice annotate in cinese e su una victimologia coerente con interessi regionali. La persistenza è il tratto distintivo: l’attore investe in accessi durevoli, evitando rumore superfluo, privilegiando RDP e VPN SoftEther per movimenti laterali discreti e manutenzione delle backdoor.
Tattiche, tecniche e procedure osservate
La catena d’attacco tipica di UAT-7237 inizia da server esposti con vulnerabilità note, procede con ricognizione attiva e si sviluppa in espansione orizzontale fino al controllo di nodi chiave. Systeminfo, ipconfig, nslookup, curl e ping vengono usati per mappare l’ambiente, verificare reachability e risoluzione DNS, prima di caricare loader e shellcode destinati a innestare Cobalt Strike. La proliferazione sfrutta SharpWMI, WMICmd e net use per raggiungere condivisioni SMB e orchestrare esecuzioni remote, mentre l’escalation è affidata a JuicyPotato o varianti (ad esempio juicy2.exe -t *), e a modifiche al registry funzionali a disattivare UAC, abilitare WDigest in chiaro e regolare privilegi di servizi.
Infrastrutture di web hosting taiwanesi nel mirino
La scelta di Taiwan come foco operativo segnala un interesse strategico verso nodi che ospitano multi-tenant, pannelli di controllo, automazioni CI/CD e gateway cloud, dove l’impatto di una compromissione si moltiplica lungo la catena dei clienti. Un episodio recente ha coinvolto un provider di web hosting taiwanese, con sequenze che confermano la metodologia del gruppo: exploit su un servizio esposto, ricognizione locale, ridistribuzione del payload e stabilizzazione di backdoor per la gestione a lungo termine.
Accesso iniziale e movimento laterale
Per l’ingresso, UAT-7237 privilegia CVE note su server non aggiornati, sfruttando l’esposizione diretta a Internet. Dopo il foothold, i comandi systeminfo, ipconfig /all, whoami e nslookup consolidano un profilo dell’host e delle dipendenze di rete. La reachability dei target viene testata con ping e curl, mentre FScan individua porte aperte e servizi, con particolare attenzione a SMB (porta 445) e a endpoint amministrativi. La fase di espansione coinvolge SharpWMI e WMICmd per remoting, con net use a supporto della mappatura delle condivisioni e dell’impersonificazione di account di servizio.
Persistenza, escalation e comando C2
La persistenza è mantenuta tramite SoftEther VPN installato come client e accessi RDP diretti, una soluzione che riduce la visibilità rispetto a web shell rumorose. L’escalation di privilegi si appoggia a JuicyPotato e a modifiche di registro per bypassare misure locali, mentre i beacon di Cobalt Strike comunicano in HTTPS con un C2 che, in un caso osservato, punta a un endpoint AWS Lambda in ap-northeast-1, mascherando la presenza tra asset legittimi del cloud. La telemetria mostra pattern di beaconing con jitter e tentativi di living-off-the-land per minimizzare indicatori.
Strumenti e payload: SoundBill, Mimikatz e Cobalt Strike
Il loader SoundBill, derivato dal progetto VTHello su GitHub, decodifica dal file ptiti.txt un shellcode che bootstrap-pa componenti successivi, inclusi decoy QQ ed eseguibili embedded per confondere analisi superficiali. Il payload finale carica Cobalt Strike in modalità position-independent code, mentre la fase di credential access utilizza un Mimikatz customizzato (ad esempio VTSB.exe) con comandi sekurlsa::logonpasswords eseguiti previo privilege::debug. Questi elementi si combinano con SSP injection su LSASS tramite Project1.exe e SSP.dll, con lo scopo di raccogliere credenziali e muoversi con account legittimi all’interno del dominio.
Anatomia del loader SoundBill
SoundBill incapsula una filiera di esecuzione pensata per rimanere sotto soglia. Il file ptiti.txt contiene blob che, una volta decodificati, diventano shellcode in grado di caricare Cobalt Strike in PIC e di avviare componenti esca (come eseguibili QQ) per depistare analisi poco approfondite. La fase di credential access integra VTSB.exe con privilege::debug e sekurlsa::logonpasswords, mentre Project1.exe innesta SSP.dll in LSASS per raccolta persistente. I beacon dialogano su HTTPS con un C2 in AWS Lambda, mascherando la telemetria dentro flussi legittimi. La rilevazione richiede controlli di esecuzione su loader anomali, regole YARA mirate alle stringhe dei moduli Golang e hunting su pattern di WMI, RDP e download da host esterni come 141.164.50.141. Il contenimento efficace combina blocchi esecutivi su server, MFA e vincoli di origine sui piani di gestione, oltre a patch regolari delle vulnerabilità base che riducono il bisogno del gruppo di ricorrere a catene complesse per l’accesso iniziale.
Sovrapposizioni con UAT-5918 e differenze operative
Le sovrapposizioni con UAT-5918 emergono in victimologia, periodo di attività e lingua dei tool, ma UAT-7237 si distingue per la preferenza verso Cobalt Strike come backdoor primaria, l’uso selettivo di web shell e la predilezione per RDP/VPN rispetto a Meterpreter. Queste scelte riducono il profilo di rumore e suggeriscono playbook adattati a hosting provider e ambienti cloud, dove la stabilità e la persistenza prevalgono sulla velocità di esfiltrazione.
Indicatori di compromissione e infrastruttura C2
Tra gli IOC condivisi da Talos figurano hash riferiti a wmiscan.exe, Project1.exe, FScan, smb_version e varianti fileless di Mimikatz, oltre all’hash di SoundBill. Sul piano di rete, si evidenziano richieste verso http://141.164.50.141/sdksdk608/win-x64.rar, connessioni a cvbbonwxtgvc3isfqfc52cwzja0kvuqd.lambda-url.ap-northeast-1.on.aws e risoluzioni DNS coerenti con la catena C2. La convergenza di beacon HTTPS, WMI remoting e RDP consente al gruppo di mimetizzare parte della propria attività in flussi legittimi, ponendo l’accento su detection comportamentale e correlazione eventi tra endpoint, identity e rete.
Timeline operativa e persistenza pluriennale
Le tracce documentano attività dal 2022, con una SoftEther VPN creata a settembre 2022 e utilizzata fino a dicembre 2024, a testimonianza di una presenza durevole su infrastrutture compromesse. La continuità temporale e l’evoluzione delle TTP allineano UAT-7237 a un umbrella operativo dove sottogruppi condividono moduli, competenze e obiettivi regionali, riadattando il tooling alle difese osservate nei target.
Impatto su provider e rischio sistemico per i clienti
L’impatto su un provider di web hosting si riflette su clienti multipli, con rischi che vanno dalla disponibilità del servizio alla confidenzialità dei dati. Downtime, accessi non autorizzati a console e repository e esfiltrazione di segreti applicativi possono propagarsi a catena, soprattutto in ambienti con automazioni di deployment e interconnessioni cloud. La proliferazione interna descritta per UAT-7237 massimizza il ritorno operativo del gruppo, mentre il costo di bonifica cresce in modo proporzionale alla profondità di integrazione del provider nei processi dei clienti.
Difese prioritarie e strategie di mitigazione
La priorità per le organizzazioni taiwanesi e, più in generale, per gli operatori di hosting e cloud è triplice: prevenire l’accesso iniziale, limitare la mobilità interna e ridurre la durata della persistenza. La prevenzione passa da patch tempestive sulle superfici esposte, hardening dei servizi di amministrazione e policy che bloccano installazioni non autorizzate di VPN client e strumenti RDP su host server. La limitazione dei movimenti richiede segmentazione e micro-segmentazione, con controlli su SMB e WMI, monitoraggio di query anomale e convalida degli accessi amministrativi con MFA e restrizioni di origine. La deterrenza della persistenza implica telemetria avanzata per beacon irregolari, script PowerShell, modifiche di registro sensibili e injection su LSASS; EDR e XDR con regole comportamentali devono catturare catene fileless e indicatori come l’uso di SoftEther o la creazione di task pianificati atipici. L’adozione di allowlist applicative (ad esempio WDAC/AppLocker) su server limita drasticamente la superficie eseguibile disponibile ai loader come SoundBill.
Ricognizione e living-off-the-land: segnali da non ignorare
Il ricorso a comandi nativi per ricognizione e proliferazione resta un marcatore affidabile. Systeminfo, ipconfig /all, whoami, nslookup, ping e curl in sequenze ravvicinate e account di servizio che eseguono WMI remoting su host multipli in breve tempo sono segnali che devono innescare playbook di risposta. La correlazione con tentativi di connessione verso 141.164.50.141 o con richieste verso l’endpoint Lambda citato rafforza la confidenza nell’identificazione della campagna.
Politiche di identità e controllo degli accessi
L’identità è il perno operativo di UAT-7237 dopo il foothold. La raccolta di credenziali tramite Mimikatz e SSP injection su LSASS rende centrale il rinforzo del tiering amministrativo, la separazione degli account privilegiati, la rotazione dei segreti e la protezione delle credential guard. Il bastionaggio dei salti di gestione, con broker RDP dedicati e accessi vincolati a segmenti isolati, riduce la finestra utile all’attaccante per consolidare la propria presenza.
Osservabilità, telemetria e risposta
La telemetria deve abbracciare endpoint, network e identity. Beacon HTTPS con jitter, RDP da origini atipiche, WMI remoting tra host non convenzionali e download di archivi come /sdksdk608/win-x64.rar sono mattoni per rilevazioni ad alto contesto. Caccia proattiva che incrocia hash pubblicati, domini/IP e pattern di processo migliora la copertura. L’uso di regole Snort aggiornate, incluso il set V2 64908–64916 e V3 301209–301212, innalza la sensibilità a bordo perimetrale e intra-data center. Gli IOC consolidati sono disponibili nel repository Talos all’interno della cartella 2025/08 (https://github.com/Cisco-Talos/IOCs/tree/main/2025/08), con hash di wmiscan.exe, Project1.exe, FScan, smb_version, Mimikatz fileless e SoundBill, oltre ai riferimenti al Cobalt Strike beacon.
Considerazioni legali e business continuity
Un hosting provider colpito da UAT-7237 si trova anche a gestire obblighi di notifica e contrattualistica con clienti che potrebbero essere coinvolti indirettamente. La continuità operativa richiede piani di emergenza con rilocazione rapida dei servizi critici, verifiche di integrità su build pipeline e repository e audit delle chiavi utilizzate per deploy e accessi API. Simulazioni periodiche di failover e tabletop exercise con scenari APT migliorano il tempo di risposta e la qualità delle decisioni durante gli incidenti.
