Aktor ancaman siber yang diduga memiliki keterkaitan dengan China terpantau aktif menargetkan sektor infrastruktur kritis di Amerika Utara setidaknya sejak tahun lalu. Aktivitas ini diungkap oleh Cisco Talos, yang melacak kampanye tersebut dengan nama UAT-8837. Berdasarkan analisis terhadap pola taktik, teknik, dan prosedur serangan, Talos menilai kelompok ini sebagai advanced persistent threat (APT) dengan afiliasi China, meskipun dengan tingkat keyakinan menengah, karena adanya tumpang tindih taktis dengan kampanye lain yang berasal dari kawasan yang sama.
Menurut Cisco Talos, UAT-8837 memiliki peran utama dalam memperoleh akses awal ke organisasi bernilai tinggi. Penilaian ini didasarkan pada aktivitas pasca-kompromi serta pendekatan teknis yang digunakan dalam setiap tahap serangan. Setelah berhasil mendapatkan pijakan awal, baik melalui eksploitasi server yang rentan maupun penggunaan kredensial yang telah dikompromikan, aktor ini secara konsisten memanfaatkan berbagai alat open-source untuk mengumpulkan informasi sensitif. Data yang ditargetkan mencakup kredensial, konfigurasi keamanan, hingga informasi domain dan Active Directory, yang kemudian digunakan untuk membangun beberapa jalur akses ke dalam jaringan korban.
Dalam kampanye terbarunya, UAT-8837 dilaporkan mengeksploitasi kerentanan zero-day kritis pada platform Sitecore, yang teridentifikasi sebagai CVE-2025-53690 dengan skor CVSS 9.0. Metode intrusi ini menunjukkan kemiripan signifikan dalam hal TTP, perangkat, dan infrastruktur dengan kampanye yang sebelumnya diungkap oleh Mandiant pada September 2025. Meskipun belum dapat dipastikan bahwa kedua aktivitas tersebut dilakukan oleh aktor yang sama, temuan ini mengindikasikan bahwa UAT-8837 kemungkinan memiliki akses terhadap eksploit zero-day untuk melancarkan serangan siber tingkat lanjut.
Setelah berhasil menanamkan akses di jaringan target, aktor ini menjalankan tahap pengintaian awal sebelum menonaktifkan fitur RestrictedAdmin pada Remote Desktop Protocol. Langkah ini memungkinkan penyerang mengakses sistem tanpa perlindungan tambahan yang biasanya mencegah eksposur kredensial ke host jarak jauh yang telah dikompromikan. Dalam prosesnya, UAT-8837 juga menjalankan aktivitas hands-on keyboard dengan membuka cmd.exe secara langsung pada sistem korban, serta mengunduh berbagai artefak yang mendukung fase pasca-eksploitasi.
Sejumlah alat yang digunakan menunjukkan tingkat kematangan operasional yang tinggi. Di antaranya adalah GoTokenTheft untuk mencuri token akses, EarthWorm guna membangun terowongan balik ke server yang dikendalikan penyerang, serta DWAgent untuk memastikan akses jarak jauh yang persisten sekaligus melakukan rekonsiliasi Active Directory. Selain itu, kelompok ini juga memanfaatkan SharpHound, Impacket, GoExec, Rubeus, Certipy, dan alat lain yang secara khusus dirancang untuk eksploitasi, eskalasi hak akses, dan penyalahgunaan lingkungan Active Directory secara mendalam.
Peneliti Cisco Talos menyebut bahwa selama intrusi berlangsung, UAT-8837 menjalankan serangkaian perintah untuk mengekstraksi informasi sensitif dari organisasi korban. Dalam satu kasus, kelompok ini bahkan mengekstraksi pustaka berbasis DLL yang terkait langsung dengan produk milik korban. Temuan ini memunculkan kekhawatiran serius mengenai potensi trojanisasi di masa depan, yang dapat membuka peluang serangan rantai pasok maupun rekayasa balik untuk menemukan kerentanan baru pada produk tersebut.
Pengungkapan ini muncul tidak lama setelah Talos mengaitkan aktor ancaman lain yang juga terhubung dengan China, yakni UAT-7290, dengan serangan spionase siber di Asia Selatan dan Eropa Tenggara. Kelompok tersebut diketahui menggunakan keluarga malware seperti RushDrop, DriveSwitch, dan SilentRaid. Dalam beberapa tahun terakhir, meningkatnya aktivitas aktor ancaman China terhadap infrastruktur kritis telah mendorong pemerintah Barat untuk mengeluarkan berbagai peringatan resmi terkait risiko keamanan nasional.
Pekan ini, lembaga keamanan siber dan intelijen dari Australia, Jerman, Belanda, Selandia Baru, Inggris, dan Amerika Serikat secara bersama-sama mengeluarkan peringatan mengenai meningkatnya ancaman terhadap lingkungan operational technology. Panduan yang dirilis menekankan pentingnya perancangan dan pengelolaan konektivitas OT secara aman, termasuk pembatasan eksposur, sentralisasi koneksi jaringan, penggunaan protokol yang aman, penguatan batas OT, serta pemantauan dan pencatatan seluruh aktivitas koneksi secara menyeluruh.
Lembaga-lembaga tersebut menegaskan bahwa konektivitas OT yang terbuka dan tidak aman telah lama menjadi target baik bagi aktor oportunistik maupun aktor dengan kemampuan tinggi. Aktivitas ini tidak hanya melibatkan aktor negara, tetapi juga kelompok hacktivist yang memanfaatkan infrastruktur OT yang terekspos. Kondisi ini menegaskan bahwa ancaman terhadap infrastruktur kritis bersifat nyata dan terus berkembang, menuntut kesiapsiagaan yang lebih serius dari organisasi dan pemerintah di seluruh dunia.