Un groupe de menaces persistantes avancées (APT) sophistiqué, lié à la Chine, est responsable d’attaques ciblant des entités gouvernementales en Amérique du Sud depuis au moins fin 2024 et des agences gouvernementales en Europe du Sud-Est en 2025.

L’activité est suivie par Cisco Talos sous le nom de code UAT-8302 , la post-exploitation impliquant le déploiement de familles de logiciels malveillants personnalisées qui ont été utilisées par d’autres groupes de pirates informatiques alignés sur la Chine.

Parmi les familles de logiciels malveillants, on note notamment une porte dérobée basée sur .NET appelée NetDraft (alias NosyDoor), une variante C# de FINALDRAFT (alias Squidoor) qui a été précédemment liée à des groupes de menaces connus sous les noms d’ Ink Dragon , CL-STA-0049, Earth Alux , Jewelbug et REF7707 .

ESET a identifié l’utilisation de NosyDoor comme étant liée à un groupe nommé LongNosedGoblin . Il est intéressant de noter que ce même logiciel malveillant a également été déployé contre des organisations informatiques russes par un acteur malveillant connu sous le nom d’ Erudite Mogwai (également connu sous les noms de Space Pirates et Webworm), selon la société russe de cybersécurité Solar, qui l’a baptisé  LuckyStrike Agent .

Voici quelques-uns des autres outils utilisés par UAT-8302 :

• CloudSorcerer , une porte dérobée observée dans des attaques ciblant des entités russes depuis mai 2024.
• SNOWLIGHT , un stageur VShell utilisé par UNC5174 , UNC6586 et UAT-6382 .
• Deed RAT (alias Snappybee), successeur de ShadowPad et de Zingdoor , tous deux déployés par Earth Estries fin 2024.
• Draculoader , un chargeur de shellcode générique utilisé pour distribuer Crowdoor et HemiGate .

 « Le logiciel malveillant déployé par UAT-8302 le relie à plusieurs groupes de menaces déjà divulgués publiquement, ce qui indique à tout le moins une relation opérationnelle étroite entre eux », ont déclaré les chercheurs de Talos, Jungsoo An, Asheer Malhotra et Brandon White, dans un rapport technique publié aujourd’hui.

« Globalement, les différents artefacts malveillants déployés par UAT-8302 indiquent que le groupe a accès à des outils utilisés par d’autres acteurs APT sophistiqués, tous considérés comme ayant un lien avec la Chine ou étant sinophones par divers rapports tiers du secteur. »

On ignore actuellement quelles méthodes d’accès initiales l’adversaire utilise pour pénétrer dans les réseaux cibles, mais on soupçonne qu’il s’agit de l’approche éprouvée consistant à exploiter les failles zero-day et N-day dans les applications web.

Une fois infiltrés, les attaquants effectuent des reconnaissances approfondies pour cartographier le réseau, utilisent des outils open source comme  gogo pour réaliser des analyses automatisées et se déplacent latéralement au sein de l’environnement. Ces attaques aboutissent au déploiement de NetDraft, CloudSorcerer (version 3.0) et VShell.

Le groupe UAT-8302 a également été observé utilisant une variante de SNOWLIGHT basée sur Rust, appelée SNOWRUST, pour télécharger et exécuter une charge utile VShell depuis un serveur distant. Outre l’utilisation de logiciels malveillants personnalisés, l’acteur malveillant met en place d’autres moyens d’accès par porte dérobée via des outils de proxy et de VPN tels que Stowaway et SoftEther VPN.

Ces résultats soulignent la tendance à des tactiques de collaboration avancées entre plusieurs groupes alignés sur la Chine. En octobre 2025, Trend Micro a mis en lumière un phénomène appelé « Premier Pass-as-a-Service », où l’accès initial obtenu par Earth Estries est transféré à Earth Naga pour une exploitation ultérieure, masquant ainsi les efforts d’attrition. Ce partenariat existerait au moins depuis fin 2023.

« Le service Premier Pass-as-a-Service offre un accès direct aux ressources critiques, réduisant ainsi le temps consacré aux phases de reconnaissance, d’exploitation initiale et de déplacement latéral », a déclaré Trend Micro. « Bien que l’étendue complète de ce modèle ne soit pas encore connue, le nombre limité d’ incidents observés , combiné au risque d’exposition important qu’implique un tel service, suggère que l’accès est probablement restreint à un petit cercle d’acteurs malveillants. »