UAT-7290 mira infraestrutura crítica na Ásia e Europa | Riscos e Ameaças

Relatório da Cisco Talos descreve a operação do grupo UAT-7290 contra operadoras de telecomunicações no Sul da Ásia, usando um conjunto modular para Linux (RushDrop, DriveSwitch, SilentRaid). Atores ampliaram alcance ao Sudeste da Europa; recomendações incluem hardening de borda, monitoramento DNS e análise de persistência.

UAT-7290, um grupo de ameaça alinhado a interesses estatais segundo pesquisas, vem atacando operadoras de telecomunicações e alvos de infraestrutura crítica no Sul da Ásia desde pelo menos 2022. As análises públicas apontam expansão recente para o Sudeste da Europa, evidenciando aumento de alcance e sofisticação.

Resumo executivo

Relatório da Cisco Talos citado pela matéria identifica uma cadeia de ferramentas para Linux voltada a dispositivos de borda e infra‑estrutura de redes: o dropper RushDrop, o executador DriveSwitch e o implante SilentRaid. A atuação do grupo inclui reconhecimento técnico prévio, exploração de falhas conhecidas e ataques por força bruta contra serviços expostos.

Descoberta e escopo

Cisco Talos descreve que UAT-7290 realiza mapeamento detalhado antes da intrusão e que as vítimas primárias são empresas de telecom e outros elementos de infraestrutura crítica na região do Sul da Ásia. A publicação destaca que o ator passou a operar também no Sudeste da Europa, sem listar vítimas individuais.

Vetor e toolkit

RushDrop — dropper inicial que faz checagens anti‑sandbox/Vm e só prossegue quando as condições desejadas são atendidas.
DriveSwitch — componente de carregamento/execução do payload principal.
SilentRaid — implante modular que fornece shells remotos, encaminhamento de portas e gerenciamento de arquivos.

A cadeia de infecção descrita inclui criação de uma pasta oculta (".pkgdb"), extração de componentes e uso de busybox para execução de comandos. SilentRaid utiliza um sistema de plugins compiláveis que permite aos atacantes montar capacidades sob medida para cada alvo.

Comunicação e evasão

Segundo a análise, o SilentRaid resolve o endereço do servidor de comando usando nomes de domínio e o serviço de DNS público do Google (8.8.8.8), uma técnica que dificulta a diferenciação entre tráfego legítimo e malicioso. A abordagem de verificação prévia de ambiente e a modularidade aumentam a persistência e a furtividade das operações.

Impacto e limites da análise

O relatório evidencia risco significativo para redes de borda e equipamentos Linux usados em telecomunicações. Não há, na matéria consultada, dados públicos sobre número de vítimas identificadas, nem indicadores de comprometimento (IoCs) completos divulgados pelo Cisco Talos dentro do texto sumarizado. Tampouco há confirmação de casos no Brasil.

Recomendações práticas

Avaliar dispositivos de borda Linux expostos e aplicar princípios de hardening; revisar credenciais e limitar acesso via força bruta.
Monitorar resoluções DNS atípicas para domínios novos e tráfego para 8.8.8.8 em padrões fora do normal.
Inspecionar persistência (cron, systemd, pastas ocultas) e analisar processos que carregam módulos desconhecidos, além de segmentar redes de gestão de equipamentos.

O que falta

O comunicado público citado não fornece números de comprometimentos nem listas completas de IoCs no conteúdo reproduzido. Para ações técnicas, times de segurança devem consultar diretamente o relatório completo da Cisco Talos, que contém detalhes técnicos e indicadores que não estão incluídos na matéria resumida.

Repercussão

A expansão geográfica e o perfil técnico do grupo reforçam a necessidade de operadores de infraestrutura crítica avaliarem exposição e telemetria. Organizações responsáveis por redes e serviços de telecom devem priorizar análise de dispositivos de borda e programas de resposta a incidentes adaptados a implantes Linux modulares.