UAT-7290: тихият архитект на кибершпионажа срещу критична инфраструктура

Picture of Здравко Боджов
Здравко Боджов
Зловреден код

Изследователи от Cisco Talos разкриха детайли за малко известен, но изключително методичен заплашителен колектив, проследяван като UAT-7290 – група, активна поне от 2022 г., фокусирана върху шпионски операции срещу критична инфраструктура. Макар първоначално концентрирана в Южна Азия, групата вече демонстрира ясно разширяване на оперативния си обхват, включително към Югоизточна Европа – сигнал, който не бива да бъде подценяван.

Това не е шумна рансъмуер операция. Това е дългосрочен, целенасочен кибершпионаж, планиран с търпение и изпълнен с дисциплина.

Модулна малуер екосистема, а не единичен инструмент

UAT-7290 не разчита на един „вълшебен“ зловреден код, а на цялостна имплантна екосистема, изградена за устойчив достъп и скрито присъствие:

  • RushDrop (ChronosRAT) – първоначалният дропър, който стартира инфекционната верига;

  • DriveSwitch – помощен компонент, използван за изпълнение на основния имплант;

  • SilentRaid (MystRodX) – основният имплант, осигуряващ:

    • постоянен достъп;

    • комуникация с C2 инфраструктура;

    • изпълнение на команди и задачи по избор на оператора.

Допълнително, групата имплантира и Bulbature – зловреден код, използван за превръщане на компрометирани системи в Operational Relay Boxes (ORB). Това е особено показателно: заразените системи не са просто жертви, а част от по-голяма инфраструктура, използвана за прикриване и подпомагане на други операции.

ORB инфраструктурата – скритият множител на заплахата

Използването на ORB възли подсказва двойната роля на UAT-7290:

  • от една страна – шпионски колектив, който прониква дълбоко в мрежите на жертвите;

  • от друга –  доставчик на първоначален достъп, който подготвя инфраструктура за други китайски групи.

Това поставя UAT-7290 в особено опасна позиция в киберекосистемата – не просто оператор, а инфраструктурен посредник, който разширява мащаба на заплахата далеч отвъд собствените си операции.

Тихо, бавно и целенасочено: как атакува групата

Cisco Talos подчертава, че UAT-7290 извършва продължително техническо разузнаване, преди да пристъпи към реална атака. Това не са опортюнистични пробиви, а внимателно подбрани цели, основно в телекомуникационния сектор.

Основните техники включват:

  • експлоатация на one-day уязвимости в гранични и мрежови устройства;

  • целеви SSH brute-force атаки срещу публично достъпни системи;

  • използване на публично достъпни PoC експлойти, вместо разработка на собствени zero-day уязвимости.

Това показва прагматичен подход: ниска цена, висока ефективност, комбинирана с дългосрочно присъствие.

Ясна връзка с китайския кибершпионски апарат

UAT-7290 демонстрира отчетливо припокриване на тактики, техники и процедури с вече известни China-nexus заплахи:

  • използване на уязвимости в мрежови устройства;

  • open-source web shells за устойчивост;

  • UDP listeners;

  • компрометирана инфраструктура за скриване на трафик.

Особено тревожно е съвпадението с:

  • RedLeaves, свързван с APT10 (MenuPass / POTASSIUM / Purple Typhoon);

  • ShadowPad инфраструктура, използвана от множество китайски групи.

Допълнително, съществува значително припокриване с групата Red Foxtrot, която според Recorded Future е свързана с PLA Unit 69010. Това поставя UAT-7290 в добре познат, но изключително активен държавно подкрепян контекст.

Защо това е важно за Европа и България

Разширяването на дейността към Югоизточна Европа е стратегически сигнал. Регионът:

  • разполага с критична телекомуникационна и енергийна инфраструктура;

  • често използва смесени Linux и legacy среди;

  • остава уязвим към edge-device атаки и лошо защитени публични услуги.

Това прави подобни групи изключително релевантни за българския бизнес и публичен сектор, особено в контекста на NIS2 и повишените изисквания за защита на критични услуги.

UAT-7290 не търси шум, а влияние

UAT-7290 не се стреми към публичност, откуп или разрушение.
Целта е контрол, достъп и дългосрочно разузнаване.

Комбинацията от:

  • модулен малуер;

  • ORB инфраструктура;

  • припокриване с PLA-свързани групи;

  • експанзия към нови региони;

прави тази заплаха структурна, а не инцидентна. Това е напомняне, че в киберсигурността най-опасни често са не най-шумните, а най-търпеливите.

#China-nexus, # Cisco Talos, # UAT-7290, # кибершпионаж, # критична инфраструктура
e-security.bg

Подобни

MoonPeak RAT използва LNK файлове за атаки срещу криптоинвеститори
25.01.2026
moon-2762111_640
AiTM фишинг кампания компрометира енергийни организации чрез SharePoint
25.01.2026
power-station-374097_640
Okta предупреждава за нови vishing кампании към SSO акаунти
24.01.2026
okta
Нов Android троян използва машинно обучение
23.01.2026
malware_android
Evelyn Stealer - нов зловреден софтуер атакува разработчици
23.01.2026
stealer
Фишинг атаки през LinkedIn
22.01.2026
linkedin2

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Социалните мрежи и младите - между канализиране на общественото мнение и манипулация
7.12.2025
spasov
Вишинг измами срещу потребители на Revolut
11.12.2025
revolut
ClickFix кампания атакува хотели и туристически компании в България и ЕС
6.01.2026
Blue_screen_of_death-Maurice_Savage-Alamy

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.