Grupo UAT-9244

Publicado hace 3 meses 09-03-2026

Desde al menos 2024, un grupo APT vinculado a China registrado como UAT-9244 ha dirigido campañas contra proveedores de telecomunicaciones en América del Sur, empleando tres inyectores de malware diferentes para comprometer sistemas Windows, Linux y dispositivos edge. Se ha observado la asociación de este grupo con los grupos FamousSparrow y Tropic Trooper.

Vale la pena destacar que, aunque UAT-9244 comparte ciertas características con el grupo Salt Typhoon, no hay una conexión confirmada.

Las herramientas del grupo UAT-9244 consisten en tres inyectores de malware que no habían sido documentados previamente.

TernDoor
TernDoor es un backdoor para Windows y una nueva variante del malware CrowDoor. Se despliega mediante carga lateral de DLL aprovechando el ejecutable legítimo "wsprint[.]exe" para cargar una DLL maliciosa "BugSplatRc64[.]dll" capaz de leer un archivo codificado “WSPrint[.]dll”, descifrar su contenido y ejecutarlo en memoria para activar TernDoor.

Para mantener persistencia, el grupo podría usar una tarea programada o especificar en la Registry Run key que se ejecute automáticamente al iniciar sesión.

Este malware se inyecta en el proceso "msiexec[.]Exe" y decodifica su configuración donde se almacena la dirección IP, puerto y User-Agent de comando y control (C2). Tras lograr esto, TernDoor puede ejecutar comandos remotos y modificar archivos.

Además, TernDoor podría activar el driver “WSPrint.sys” como un servicio para suspender, resumir o finalizar procesos.

PeerTime
PeerTime es un backdoor peer-to-peer (P2P) basado en Linux compilado para múltiples arquitecturas como ARM, AARCH, PPC, MIPS, etc. Se despliega por medio de un script de Shell que descarga el binario ELF del cargador de PeerTime y un binario instrumentor que tiene la tarea de buscar un Docker en el sistema comprometido para ejecutar PeerTime.

El cargador PeerTime tiene la capacidad de renombrar su proceso a un proceso legitimo para evitar ser detectado mientras descifra y ejecuta PeerTime en memoria.

PeerTime utiliza el protocolo BitTorrent para obtener información de comando y control (C2), descargar archivos y ejecutarlos en el host infectado. Adicionalmente, usa BusyBox para copiar payloads en ubicaciones específicas.

BruteEntry
BruteEntry es un escáner de fuerza bruta que se instala en dispositivos edge para convertirlos en Operational Relay Boxes (ORBs) capaces de realizar escaneos y ataques de fuerza bruta contra servidores Tomcat, Postgres y SSH.

Su despliegue ocurre mediante un script Shell que descarga un binario instrumentor escrito en GoLang y un proceso Daemon, además del propio malware BruteEntry que se conecta a un servidor C2 para obtener la lista de direcciones IP objetivo.

Cualquier inicio de sesión se reporta de vuelta al servidor C2. Si fue exitoso se especifica en el JSON si “success” fue verdadero o falso junto al id y versión del agente, mientras que si falló se muestra el mensaje “All credentials tried.”
 

Taxonomía

Tactic ID Name
Execution T1059.003 Windows Command Shell
Persistance T1053.005 Scheduled Task
T1112 Modify Registry
Defense Evasion T1140 Deobfuscate/decode files or information
T1055 Process Injection
T1036.004 Masquerade Task or Service
T1027 Obfuscated Files or Information
T1070.004 File Deletion
T1574.002 DLL Side-Loading
Credential access T1110 Brute force
Discovery T1033 System Owner/User Discovery
T1082 System Information Discovery
T1016 System Network Configuration Discovery
T1083 File and Directory Discovery
T1057 Process Discovery
T1518 Software Discovery
Lateral Movement T1021.004 SSH
Command and Control T1571 Non-Standard Port
T1573.002 Asymmetric Cryptography
 

Indicadores de compromiso

IOC Tipo
711d9427ee43bc2186b9124f31cba2db5f54ec9a0d56dc2948e1a4377bada289 SHA256
3c098a687947938e36ab34b9f09a11ebd82d50089cbfe6e237d810faa729f8ff SHA256
f36913607356a32ea106103387105c635fa923f8ed98ad0194b66ec79e379a02 SHA256
A5e413456ce9fc60bb44d442b72546e9e4118a61894fbe4b5c56e4dfad6055e3 SHA256
075b20a21ea6a0d2201a12a049f332ecc61348fc0ad3cfee038c6ad6aa44e744 SHA256
1f5635a512a923e98a90cdc1b2fb988a2da78706e07e419dae9e1a54dd4d682b SHA256
2d2ca7d21310b14f5f5641bbf4a9ff4c3e566b1fbbd370034c6844cedc8f0538 SHA256
212[.]11[.]64[.]105 IPv4
45[.]32[.]106[.]94 IPv4
64[.]190[.]113[.]170 IPv4
00735a8a50d2856c11150ef1e29c05acebce7ad3edad00e37c7f043aacb46330 SHA256
74fbc8360d4c95d64d7acaa4d18943dce2d41f91d080b0b5e435d8bce52861a5 SHA256
babc81fc9c998e9dc4ab545f0e112e34d2641e1333bc81aaa131abd061a5b604 SHA256
e34c9159e6e78c59518a14c5b96bddfee094b684f99d4f69b13371284a014e87 SHA256
2c3f2261b00ea45e25eb4e9de2b7ff8e41f311c0b3d986461f834022c08b3b99 SHA256
3fcced9332301ff70b20c98c9434c858400013d659afa6bb5149cffb0206357d SHA256
a313f76fca50fff1bcd6f2c6cbc1268985f8c0a3a05fe7f43c4fc0ac3aff84dc SHA256
03eac9eb7f4b4bc494ef0496ee23cabbf38f883896838ed813741d8f64ac9fde SHA256
17652d7bb5fe0454023db4fc7f608df0dbe6af237be31258e16ba52f0e895e26 SHA256
74d1a678bdc4bb9f33321e94e3bd1bc1740472ed734231fc46af720072ecb77e SHA256
c9fc2af30f769d856b88b3051f19fdb663b3e0a0916279df9bbcba93c6a110c9 SHA256
34d64b3cd9430e85edefcb883973a086dd5de9917e05fabec89b1f4ab9627e91 SHA256
bfc35f12d00fa4b40c5fbce9e37d704e12a52262709bcbdf09f97890bc40cad5 SHA256
c9a42423ef08bd7f183915780d39530eba5e4e25968c51965ff8bb3026965a28 SHA256
38eeaa4eaad72feb3f8e6993565fcc548d8e7bb93642590f00fa24aacc0e2862 SHA256
56bead2933e91366e4a0d5761daf5b238a7f2c22e597664ef67b3ecae20ab326 SHA256
6a2d23cc8746a83e9a3b974788fce0e414706b8e75ff390426dd7e10b19967b3 SHA256
9a7225c17e4bad3ffe7f080530d36f4f8aca5c116b913caa91ab9b0cee85638e SHA256
870e791af14caaf395c56028176a9c3f4c1ff0318ef3112d57ecd3d4a1be2ef9 SHA256
185[.]196[.]10[.]247 IPv4
1fcdd5a417db31e5e07d32cecfa69e53f0dce95b7130ad9c03b92249f001801d SHA256
66ce42258062e902bd7f9e90ad5453a901cfc424f0ea497c4d14f063f3acd329 SHA256
d5eb979cb8a72706bfa591fa57d4ebf7d13cecdc9377b0192375e2f570f796df SHA256
66adeedfb739774fcc09aa7426c8fad29f8047ab4caee8040d07c0e84d011611 SHA256
66bdce93de3b02cf9cdadad18ca1504ac83e379a752d51f60deae6dcbafe4e31 SHA256
212[.]11[.]64[.]105 IPv4
185[.]196[.]10[.]247 IPv4
023467e236a95d5f0e62e26445d430d749c59312f66cf136e6e2c2d526c46ba1 SHA256
06b23d84fd7afd525dfd7860ebd561dcdd72ccbeb51981d5d9a75acf068d0a2a SHA256

Recomendaciones

  • Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
  • Auditar herramientas de acceso remoto. (NIST CSF, 2024)
  • Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
  • Limitar estrictamente el uso de los protocolos SMB y RDP.
  • Realizar auditorías de seguridad. (NIST CSF, 2024)
  • Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
  • Tener filtros de correo electrónico y spam.
  • Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
  • Realizar copias de seguridad, respaldos o back-ups constantemente.
  • Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
  • Revisar continuamente los privilegios de los usuarios.
  • Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
  • Habilitar la autenticación multifactorial.

Referencias

  1. Malhotra, A. (2026, marzo 5). UAT-9244 targets South American telecommunication providers with three new malware implants. Cisco Talos. Recuperado el 9 de marzo de 2026: https://blog.talosintelligence.com/uat-9244/
  2. Lakshmanan, R. (2026, marzo 6). China-Linked Hackers Use TernDoor, PeerTime, BruteEntry in South American Telecom Attacks. The Hacker News. Recuperado el 9 de marzo de 2026: https://thehackernews.com/2026/03/china-linked-hackers-use-terndoor.html
  3. Toulas, B. (2026, marzo 5). Chinese state hackers target telcos with new malware toolkit. Bleeping Computer. Recuperado el 9 de marzo de 2026: https://www.bleepingcomputer.com/news/security/chinese-state-hackers-target-telcos-with-new-malware-toolkit/

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Vulnerabilidad Alta en Microsoft Sharepoint Server
Publicado hace 2 semanas 29-05-2026

Microsoft ha publicado detalles sobre una vulnerabilidad de alta severidad en SharePoint Server que puede permitir la ejecución remota de código y comprometer entornos empresariales que usan implementaciones on‑premises. Registrada como CVE-2026-45659 y catalogad......

Grupo TeamPCP
Publicado hace 2 semanas 29-05-2026

TeamPCP es un grupo presente desde 2025, el cual se especializa en infraestructura en la nube. Se enfoca en ejecutar ataques a cadena de suministro en varias etapas, adaptándose a los diferentes sistemas. El grupo ha conseguido afectar ecosistemas completos, así com......

Campaña de Phishing a través de Teams (Orígenes externos)
Publicado hace 3 semanas 26-05-2026

...

BOLETINES RECIENTES

...
ShinyHunters explota zero-day en Oracle PeopleSoft (CVE-2026-35273) y filtra datos de instituciones educativas
Publicado hace 1 día 16-06-2026
Leer más
...
Vulnerabilidad Alta en Microsoft Sharepoint Server
Publicado hace 2 semanas 29-05-2026
Leer más
...
Grupo TeamPCP
Publicado hace 2 semanas 29-05-2026
Leer más