中國APT組織UAT-7290鎖定電信產業，邊緣設備成為初始入侵關鍵管道

思科旗下威脅情報團隊Cisco Talos揭露，一個具中國背景的進階持續性威脅（APT）組織，長期鎖定關鍵通訊基礎設施發動網路間諜行動，並透過濫用邊緣網路設備漏洞，入侵南亞及東南歐地區的電信業者。該組織被追蹤為UAT-7290，過去主要活躍於南亞地區，近期則被觀測到擴大攻擊範圍。

研究人員指出，UAT-7290至少自2022年起即持續活動，並兼具間諜行動與初始存取團隊的雙重角色。在多起攻擊行動中，該組織會於受害環境內建立作業中繼節點（Operational Relay Box，ORB）基礎設施，這些節點後續可能被其他具中國背景的威脅行為者利用，作為隱匿來源與轉送攻擊流量的跳板。

Cisco Talos發現，UAT-7290在發動入侵前，會先對目標組織進行長時間且深入的技術偵察，隨後結合一日（One-day）漏洞的濫用程式碼，以及針對特定目標設計的SSH暴力破解手法，入侵對外暴露的邊緣網路設備，以取得初始存取權限，並進一步提升系統權限。研究人員也指出，該組織主要依賴已公開的概念驗證（PoC）攻擊程式碼，而非自行開發漏洞利用工具。

在惡意程式工具方面，UAT-7290主要使用以Linux為基礎的惡意程式工具組，並在部分攻擊行動中部署Windows植入程式，例如RedLeaves與ShadowPad，這些惡意程式已被多個具中國背景的APT組織重複使用。Talos目前追蹤到的Linux惡意程式家族包括RushDrop、DriveSwitch與SilentRaid，其中SilentRaid具備遠端Shell、檔案操作與連接埠轉送等功能，可用於維持長期存取。

此外，研究人員也觀測到名為Bulbature的Linux惡意程式，被用來將遭入侵的設備轉換為作業中繼節點。Talos指出，Bulbature所使用的TLS憑證與資安業者Sekoia先前揭露的樣本一致，顯示相關攻擊基礎設施可能被多個中國背景攻擊行動重複利用。

Cisco Talos已公布多項入侵指標（IoC），並呼籲電信業者與關鍵基礎設施營運單位，應加強邊緣網路設備的漏洞修補與存取控管，以降低遭入侵的風險。