Peneliti keamanan siber mengungkap aktivitas kelompok peretas baru yang memiliki keterkaitan kuat dengan China dan menargetkan perusahaan telekomunikasi melalui eksploitasi perangkat edge network. Kelompok ini dilacak oleh Cisco Talos dengan kode internal UAT-7290 dan belakangan memperluas operasinya ke kawasan Eropa Tenggara.
Menurut laporan terbaru Cisco Talos, UAT-7290 telah aktif setidaknya sejak 2022 dan sebelumnya dikenal berfokus pada operator telekomunikasi di Asia Selatan dalam operasi spionase siber. Selain melakukan pencurian data, kelompok ini juga berperan sebagai initial access broker dengan membangun infrastruktur Operational Relay Box (ORB) yang kemudian dimanfaatkan oleh aktor ancaman lain yang selaras dengan kepentingan China.
Dalam setiap serangan, UAT-7290 disebut melakukan pengintaian menyeluruh sebelum pembobolan. Mereka memanfaatkan kombinasi malware kustom, perangkat lunak sumber terbuka, serta eksploit publik untuk celah keamanan yang telah diketahui pada perangkat jaringan edge yang terekspos ke internet. Pendekatan ini memungkinkan penyerang memperoleh akses awal dan meningkatkan hak akses pada sistem yang telah dikompromikan.
Cisco Talos menjelaskan bahwa UAT-7290 secara rutin memanfaatkan eksploit one-day dan SSH brute force yang disesuaikan dengan target untuk menembus perangkat edge publik. Setelah berhasil masuk, mereka menanamkan rangkaian malware berbasis Linux sebagai fondasi operasi lanjutan. Dalam beberapa kasus tertentu, kelompok ini juga terlihat menyebarkan implant Windows seperti RedLeaves dan ShadowPad, yang dikenal luas digunakan oleh berbagai aktor ancaman berafiliasi China.
Arsenal utama UAT-7290 terdiri dari beberapa keluarga malware Linux. Rantai infeksi biasanya dimulai dengan RushDrop atau ChronosRAT, yang berfungsi sebagai dropper awal. Malware ini melakukan pemeriksaan anti-virtualisasi dasar, membuat atau memverifikasi direktori tersembunyi, lalu mengekstrak sejumlah komponen lain yang dibenamkan di dalamnya. Salah satu komponen tersebut bertugas mengeksekusi implant utama pada sistem yang terinfeksi.
Implant inti yang digunakan adalah SilentRaid, juga dikenal sebagai MystRodX. Malware ini dirancang dengan arsitektur modular berbasis plugin dan memberikan persistensi jangka panjang. SilentRaid mendukung akses remote shell, port forwarding, operasi berkas, pengarsipan direktori, pembacaan informasi akun sistem, hingga pengumpulan atribut sertifikat X.509. Untuk komunikasi dengan server kendali, malware ini memanfaatkan resolver DNS publik milik Google.
Selain itu, UAT-7290 juga menggunakan Bulbature, sebuah implant Linux yang dipaketkan dengan UPX dan berfungsi mengubah perangkat yang dikompromikan menjadi ORB. Malware ini membuka reverse shell, mendengarkan pada port yang dapat dikonfigurasi, serta menyimpan konfigurasi command-and-control secara lokal. Menariknya, sertifikat TLS yang digunakan Bulbature ditemukan identik dengan yang sebelumnya didokumentasikan oleh peneliti keamanan lain, dan dikaitkan dengan ratusan host di wilayah China dan Hong Kong yang juga terhubung dengan keluarga malware lain.
Cisco Talos menilai kombinasi teknik, infrastruktur, dan alat yang digunakan menunjukkan tingkat kematangan operasional yang tinggi. Ekspansi target ke Eropa Tenggara mengindikasikan bahwa kelompok ini tidak lagi terbatas pada kawasan tertentu dan berpotensi memperluas jangkauan spionase sibernya.
Sebagai langkah pertahanan, Cisco Talos merilis detail teknis lengkap beserta indikator kompromi yang dapat digunakan organisasi, khususnya penyedia layanan telekomunikasi, untuk mendeteksi dan memitigasi ancaman ini. Temuan tersebut kembali menegaskan bahwa perangkat edge network yang tidak diperbarui dan terekspos ke internet tetap menjadi titik masuk favorit bagi aktor ancaman tingkat negara.