Selon Cisco Talos (Threat Spotlight du 15 janv. 2026), le groupe UAT‑8837 est évalué avec une confiance moyenne comme un acteur APT à nexus chinois, principalement orienté vers l’obtention d’accès initial à des organisations de grande valeur. Depuis au moins 2025, ses cibles se concentrent sur les secteurs d’infrastructure critique en Amérique du Nord. Après compromission, l’acteur déploie surtout des outils open source pour collecter des identifiants, configurations de sécurité et informations de domaine/AD, multipliant les canaux d’accès. Les TTPs et l’infrastructure observées recoupent l’exploitation récente de CVE‑2025‑53690 (zero‑day de désérialisation ViewState dans les produits Sitecore), laissant penser qu’UAT‑8837 dispose d’exploits zero‑day.

🎯 Chaîne d’intrusion et actions post‑compromission

  • Accès initial via vulnérabilités (n‑day et zero‑day) ou identifiants compromis, dont l’exploitation de CVE‑2025‑53690.
  • Reconnaissance préliminaire avec des commandes telles que: ping google.com, tasklist /svc, netstat -aon -p TCP, whoami, quser, hostname, net user.
  • L’acteur désactive RestrictedAdmin pour RDP afin d’obtenir des identifiants pour se connecter à d’autres hôtes.
  • Mise en scène d’artefacts dans: C:\Users\<user>\Desktop\, C:\Windows\Temp\, C:\Windows\Public\Music.

🧰 Outils et capacités observés

  • GoTokenTheft (vol de jetons d’accès) pour exécuter des commandes avec privilèges élevés.
  • Earthworm (tunneling réseau) avec multiples variantes pour évasion de détection, création de tunnels inverses vers des IPs contrôlées par l’attaquant.
  • DWAgent (administration à distance) pour faciliter l’accès et le dépôt de charges.
  • SharpHound (collecte AD), tentatives d’Impacket; en cas de blocage, usage de Invoke‑WMIExec.
  • GoExec (exécution distante via WMI/DCOM) choisi ad hoc face aux blocages par Cisco Secure Endpoint (CSE).
  • Tentatives avec SharpWMI (détectées), Rubeus (abus Kerberos), Certipy (découverte/abus AD).

🔎 Activité « hands‑on‑keyboard » et reconnaissance AD

  • Recherche de secrets: findstr /S /l cpassword \\...\policies\*.xml.
  • Export de la configuration de sécurité: secedit /export /cfg C:\Windows\Temp\pol.txt.
  • Reconnaissance de domaine: net group/domain, net user/domain, net accounts/domain, nltest /DCLIST:<domain>, nslookup.
  • SPN et AD: setspn -L, setspn -Q */*, plus dsquery/dsget pour extraire attributs et appartenances.
  • Persistance/backdoor: création de comptes (net user <user> <password> /add /domain) et ajout à des groupes locaux.
  • Dans un cas, exfiltration de bibliothèques DLL liées aux produits d’une victime, avec un risque de trojanisation et d’atteinte à la chaîne d’approvisionnement.

🛡️ Couverture et détections

  • Signature ClamAV: Win.Malware.Earthworm.
  • Règles Snort: Snort 2 – 61883, 61884, 63727, 63728; Snort 3 – 300585, 63727, 63728.

📌 TTPs clés (extraits)

  • Accès initial: exploitation de vulnérabilités (dont CVE‑2025‑53690) et identifiants compromis.
  • Mouvement latéral: RDP, WMI/DCOM via GoExec, Invoke‑WMIExec, DWAgent.
  • Évasion/défense: rotation de variantes d’outils pour contourner CSE; Earthworm pour tunneling.
  • Découverte/collecte: SharpHound, Certipy, setspn, dsquery/dsget, commandes net.
  • Accès aux identifiants: GoTokenTheft, Rubeus; recherche de cpassword.
  • Persistance: création/altération de comptes et groupes locaux; staging d’artefacts dans répertoires publics/temp.

🧾 IOCs (extraits du rapport)

  • Fichiers (SHA‑256):
    • 1b3856e5d8c6a4cec1c09a68e0f87a5319c1bd4c8726586fd3ea1b3434e22dfa (GoTokenTheft)
    • 451e03c6a783f90ec72e6eab744ebd11f2bdc66550d9a6e72c0ac48439d774cd (Earthworm)
    • b3f83721f24f7ee5eb19f24747b7668ff96da7dfd9be947e6e24a688ecc0a52b (Earthworm)
    • fab292c72ad41bae2f02ae5700c5a88b40a77f0a3d9cbdf639f52bc4f92bb0a6 (Earthworm)
    • 4f7518b2ee11162703245af6be38f5db50f92e65c303845ef13b12c0f1fc2883 (Earthworm)
    • 891246a7f6f7ba345f419404894323045e5725a2252c000d45603d6ddf697795 (GoTokenTheft)
    • 5090f311b37309767fb41fa9839d2770ab382326f38bab8c976b83ec727e6796 (SharpHound)
    • 6e8af5c507b605a16373e8453782bfd8a3ec3bd76f891e71a159d8c2ff2a5bb0 (Impacket)
    • 887817fbaf137955897d62302c5d6a46d6b36cb34775e4693e30e32609fb6744 (GoExec)
    • 4af156b3285b49485ef445393c26ca1bb5bfe7cdc59962c5c5725e3f3c574f7c (GoExec)
    • 1de72bb4f116e969faff90c1e915e70620b900e3117788119cffc644956a9183 (SharpWMI)
    • 51d6448e886521aaaaf929a50763156ceb99ede587c65de971700a5583d6a487 (Rubeus)
    • 2f295f0cedc37b0e1ea22de9d8cb461fa6f84ab0673fde995fd0468a485ddb59 (Rubeus)
    • e27e6e8e97421593f1e8d66f280e894525e22b373248709beaf81dc6107fb88d (Certipy)
    • b7ecd4ff75c0e3ed196e1f53d92274b1e94f17fa6c39616ce0435503906e66fb
    • 42e3ad56799fbc8223fb8400f07313559299496bb80582a6cbae29cb376d96c3
    • 6d20371b88891a1db842d23085a0253e36cf3bf0691aee2ae15a66fc79f3803d
    • 4e8304040055d3bffcb3551873da45f66577723d1a975416a49afa5aec4eb295
    • bdf7b28df19b6b634c05882d9f1db73f63252f855120ed3e4da4e26f2c6190e8
    • 1c5174672bf2ccedb6a426336ca79fd326e61cd26dd9ae684b8ffd0b5a70c700
    • d0beb6184ea4402c39e257d5912c7ace3607e908e76127014e3ec02866b6d70c
    • 194ca1b09902ceaaa8a7e66234be9dc8a12572832836361f49f1074eae861794
    • 74e68b4e07d72c9b8e0bc8cbfd57f980b4a2cd9d27c37bb097ca4fb2108706e3
    • ced14e8beb20a345a0d6f90041d8517c04dbc113feff3bc6e933968d6b846e31
    • 8bf233f608ea508cd6bf51fb23053d97aa970b8d11269d60ce5c6e113e8e787a
    • 5391f69425217fa8394ebac0d952c5a3d1f0f5ac4f20587978cd894fdb6199cd
    • 8bc008a621c5e3068129916770d24ee1d7d48079ee42797f86d3530ca90e305c
    • de9c13b1abeab11626a8edc1385df358d549a65e8cc7a69baca84cd825acc8e7
    • 4d47445328bfd4db12227af9b57daab4228244d1325cba572588de237f7b2e98
  • Infrastructures/IPs:
    • 74.176.166.174
    • 20.200.129.75
    • 172.188.162.183
    • 4.144.1.47
    • 103.235.46.102

Cet article est une analyse de menace détaillant les TTPs, outils, IOCs et règles de détection associés à UAT‑8837 afin d’informer la communauté sécurité.

🧠 TTPs et IOCs détectés

TTP

[“Exploitation de vulnérabilités (CVE-2025-53690) pour l’accès initial”, “Utilisation d’identifiants compromis pour l’accès initial”, ‘Reconnaissance avec des commandes système (ping, tasklist, netstat, whoami, quser, hostname, net user)’, ‘Désactivation de RestrictedAdmin pour RDP’, “Vol de jetons d’accès avec GoTokenTheft”, ‘Tunneling réseau avec Earthworm’, ‘Administration à distance avec DWAgent’, “Collecte d’informations AD avec SharpHound”, ‘Exécution distante via GoExec et Invoke-WMIExec’, ‘Abus Kerberos avec Rubeus’, ‘Découverte et abus AD avec Certipy’, ‘Création de comptes pour persistance’, “Staging d’artefacts dans répertoires publics/temp”, ‘Exfiltration de bibliothèques DLL’]

IOC

{‘hashes’: [‘1b3856e5d8c6a4cec1c09a68e0f87a5319c1bd4c8726586fd3ea1b3434e22dfa’, ‘451e03c6a783f90ec72e6eab744ebd11f2bdc66550d9a6e72c0ac48439d774cd’, ‘b3f83721f24f7ee5eb19f24747b7668ff96da7dfd9be947e6e24a688ecc0a52b’, ‘fab292c72ad41bae2f02ae5700c5a88b40a77f0a3d9cbdf639f52bc4f92bb0a6’, ‘4f7518b2ee11162703245af6be38f5db50f92e65c303845ef13b12c0f1fc2883’, ‘891246a7f6f7ba345f419404894323045e5725a2252c000d45603d6ddf697795’, ‘5090f311b37309767fb41fa9839d2770ab382326f38bab8c976b83ec727e6796’, ‘6e8af5c507b605a16373e8453782bfd8a3ec3bd76f891e71a159d8c2ff2a5bb0’, ‘887817fbaf137955897d62302c5d6a46d6b36cb34775e4693e30e32609fb6744’, ‘4af156b3285b49485ef445393c26ca1bb5bfe7cdc59962c5c5725e3f3c574f7c’, ‘1de72bb4f116e969faff90c1e915e70620b900e3117788119cffc644956a9183’, ‘51d6448e886521aaaaf929a50763156ceb99ede587c65de971700a5583d6a487’, ‘2f295f0cedc37b0e1ea22de9d8cb461fa6f84ab0673fde995fd0468a485ddb59’, ’e27e6e8e97421593f1e8d66f280e894525e22b373248709beaf81dc6107fb88d’, ‘b7ecd4ff75c0e3ed196e1f53d92274b1e94f17fa6c39616ce0435503906e66fb’, ‘42e3ad56799fbc8223fb8400f07313559299496bb80582a6cbae29cb376d96c3’, ‘6d20371b88891a1db842d23085a0253e36cf3bf0691aee2ae15a66fc79f3803d’, ‘4e8304040055d3bffcb3551873da45f66577723d1a975416a49afa5aec4eb295’, ‘bdf7b28df19b6b634c05882d9f1db73f63252f855120ed3e4da4e26f2c6190e8’, ‘1c5174672bf2ccedb6a426336ca79fd326e61cd26dd9ae684b8ffd0b5a70c700’, ‘d0beb6184ea4402c39e257d5912c7ace3607e908e76127014e3ec02866b6d70c’, ‘194ca1b09902ceaaa8a7e66234be9dc8a12572832836361f49f1074eae861794’, ‘74e68b4e07d72c9b8e0bc8cbfd57f980b4a2cd9d27c37bb097ca4fb2108706e3’, ‘ced14e8beb20a345a0d6f90041d8517c04dbc113feff3bc6e933968d6b846e31’, ‘8bf233f608ea508cd6bf51fb23053d97aa970b8d11269d60ce5c6e113e8e787a’, ‘5391f69425217fa8394ebac0d952c5a3d1f0f5ac4f20587978cd894fdb6199cd’, ‘8bc008a621c5e3068129916770d24ee1d7d48079ee42797f86d3530ca90e305c’, ‘de9c13b1abeab11626a8edc1385df358d549a65e8cc7a69baca84cd825acc8e7’, ‘4d47445328bfd4db12227af9b57daab4228244d1325cba572588de237f7b2e98’], ‘ips’: [‘74.176.166.174’, ‘20.200.129.75’, ‘172.188.162.183’, ‘4.144.1.47’, ‘103.235.46.102’]}

🔗 Source originale : https://blog.talosintelligence.com/uat-8837/