Source et contexte: Cisco Talos Blog publie une analyse d’« UAT-7237 », un groupe APT sinophone actif depuis au moins 2022 et présentant de fortes similitudes avec « UAT-5918 ». L’équipe décrit une intrusion récente contre un fournisseur d’hébergement web à Taïwan, avec un fort objectif de persistance à long terme et un outillage majoritairement open source, personnalisé pour l’évasion.

Principales tactiques et objectifs 🎯: Le groupe obtient l’accès initial en exploitant des vulnérabilités connues sur des serveurs exposés, effectue une reconnaissance rapide (nslookup, systeminfo, ping, ipconfig) et s’appuie sur des LOLBins et des outils WMI (SharpWMI, WMICmd) pour l’exécution distante et la prolifération. La persistance et l’accès se font surtout via SoftEther VPN et RDP, avec un déploiement de web shells très sélectif. UAT-7237 privilégie Cobalt Strike comme implant, au contraire de UAT-5918 qui use surtout de Meterpreter et multiplie les web shells. L’acteur cible notamment les accès VPN et l’infrastructure cloud de la victime.

Outillage post-compromission 🧰: UAT-7237 utilise un loader personnalisé « SoundBill » (basé sur « VTHello », écrit en chinois) qui décode un fichier « ptiti.txt » puis exécute le shellcode résultant. Le payload peut être un Mimikatz intégré (ex. « privilege::debug sekurlsa::logonpasswords »), l’exécution de commandes arbitraires ou un beacon Cobalt Strike communiquant en HTTPS vers une URL Lambda AWS. Deux exécutables QQ sont embarqués comme leurres. Le groupe emploie aussi JuicyPotato pour l’escalade de privilèges, tente de modifier la configuration Windows (désactivation UAC, activation du stockage WDigest en clair) et ouvre la console « comexp.msc ». La recherche d’identifiants inclut Mimikatz (fileless et via SoundBill), l’utilisation de comsvcs.dll pour le dump LSASS, la chasse aux mots de passe VNC (registre et fichiers), l’usage d’outils comme « invoketest.exe » et « Project1.exe » (ssp_dump_lsass) puis l’archivage des dumps avec 7‑Zip pour exfiltration.

Prolifération réseau et infrastructure VPN 🕵️‍♂️: Pour l’exploration latérale, UAT-7237 scanne avec FScan (ports sur sous-réseaux) et des sondes SMB, vérifie RDP (port 3389), monte des partages IPC/ADMIN$ et interroge la topologie AD (groupes Domain Admins/Controllers). Les artefacts SoftEther analysés montrent un serveur créé en septembre 2022 et utilisé jusqu’en décembre 2024, avec langue d’affichage en chinois simplifié, appuyant le profil sinophone et l’usage prolongé de cette filière d’accès.

IOC et TTPs 📌:

  • IOCs:
    • Hashes: 450fa9029c59af9edf2126df1d6a657ee6eb024d0341b32e6f6bdb8dc04bae5a; 6a72e4b92d6a459fc2c6054e9ddb9819d04ed362bd847333492410b6d7bae5aa; E106716a660c751e37cfc4f4fbf2ea2f833e92c2a49a0b3f40fc36ad77e0a044; B52bf5a644ae96807e6d846b0ce203611d83cc8a782badc68ac46c9616649477; 864e67f76ad0ce6d4cc83304af4347384c364ca6735df0797e4b1ff9519689c5 (SoundBill); Df8497b9c37b780d6b6904a24133131faed8ea4cf3d75830b53c25d41c5ea386 (Cobalt Strike); 0952e5409f39824b8a630881d585030a1d656db897adf228ce27dd9243db20b7; 7a5f05da3739ad3e11414672d01b8bcf23503a9a8f1dd3f10ba2ead7745cdb1f
    • Domaine/URL C2: cvbbonwxtgvc3isfqfc52cwzja0kvuqd.lambda-url.ap-northeast-1[.]on[.]aws
    • Téléchargement: hxxp[://]141[.]164[.]50[.]141/sdksdk608/win-x64[.]rar
    • IP: 141[.]164[.]50[.]141
  • TTPs (exemples):
    • Accès initial: exploitation de vulnérabilités sur serveurs exposés
    • Persistance/Accès: SoftEther VPN + RDP; web shells déployés de façon ciblée
    • Exécution: LOLBins, outils WMI (SharpWMI, WMICmd)
    • Mouvement latéral: scans FScan/SMB, montages \IPC$, vérifs RDP (3389)
    • Credential access: Mimikatz (fileless et via SoundBill), comsvcs.dll, ssp_dump_lsass, collecte VNC, 7‑Zip pour la mise en archive
    • Élévation de privilèges: JuicyPotato
    • Défense évasion/Config: désactivation UAC, activation WDigest en clair

Il s’agit d’une publication de recherche dont le but principal est de documenter une campagne APT, ses TTPs, ses outils (dont SoundBill/Cobalt Strike/SoftEther) et de fournir des IOCs.

🧠 TTPs et IOCs détectés

TTP

[‘Accès initial: exploitation de vulnérabilités sur serveurs exposés’, ‘Persistance/Accès: SoftEther VPN + RDP; web shells déployés de façon ciblée’, ‘Exécution: LOLBins, outils WMI (SharpWMI, WMICmd)’, ‘Mouvement latéral: scans FScan/SMB, montages \IPC$, vérifs RDP (3389)’, ‘Credential access: Mimikatz (fileless et via SoundBill), comsvcs.dll, ssp_dump_lsass, collecte VNC, 7‑Zip pour la mise en archive’, ‘Élévation de privilèges: JuicyPotato’, ‘Défense évasion/Config: désactivation UAC, activation WDigest en clair’]

IOC

{‘hashes’: [‘450fa9029c59af9edf2126df1d6a657ee6eb024d0341b32e6f6bdb8dc04bae5a’, ‘6a72e4b92d6a459fc2c6054e9ddb9819d04ed362bd847333492410b6d7bae5aa’, ‘E106716a660c751e37cfc4f4fbf2ea2f833e92c2a49a0b3f40fc36ad77e0a044’, ‘B52bf5a644ae96807e6d846b0ce203611d83cc8a782badc68ac46c9616649477’, ‘864e67f76ad0ce6d4cc83304af4347384c364ca6735df0797e4b1ff9519689c5’, ‘Df8497b9c37b780d6b6904a24133131faed8ea4cf3d75830b53c25d41c5ea386’, ‘0952e5409f39824b8a630881d585030a1d656db897adf228ce27dd9243db20b7’, ‘7a5f05da3739ad3e11414672d01b8bcf23503a9a8f1dd3f10ba2ead7745cdb1f’], ‘domain_url’: ‘cvbbonwxtgvc3isfqfc52cwzja0kvuqd.lambda-url.ap-northeast-1.on.aws’, ‘download_url’: ‘hxxp://141.164.50.141/sdksdk608/win-x64.rar’, ‘ip’: ‘141.164.50.141’}

🔗 Source originale : https://blog.talosintelligence.com/uat-7237-targets-web-hosting-infra/