O UAT-7290, com ligações à China, tem como alvo empresas de telecomunicações com malware Linux e nós ORB

Pesquisadores de segurança identificaram uma nova campanha de ciberespionagem avançada atribuída ao grupo UAT-7290, um ator de ameaça com ligações à China, que vem atacando empresas de telecomunicações utilizando malware para Linux e uma infraestrutura sofisticada baseada em nós ORB (Operational Relay Box).

O caso chama atenção não apenas pelo nível técnico do ataque, mas principalmente pelo alvo estratégico: o setor de telecomunicações, considerado parte da infraestrutura crítica nacional em diversos países.

• Leia Também: Honeypot: Criminosos do grupo ShinyHunters caem em armadilha de empresa de segurança
• Leia Também: Hacker vaza supostos dados da NordVPN, mas empresa nega o caso
• Leia Também: Hacktivista apaga sites supremacistas brancos ao vivo no palco durante conferência de hackers

Neste artigo, você vai entender quem é o UAT-7290, como funcionam os ataques com malware Linux, o papel dos nós ORB e por que campanhas como essa representam uma ameaça significativa à segurança global.

Quem é o grupo UAT-7290?

O UAT-7290 é classificado como um ator de ameaça persistente avançado (APT), termo usado para descrever grupos altamente organizados, bem financiados e com objetivos de longo prazo.

Embora a atribuição em cibersegurança seja sempre cautelosa, análises de:

• Infraestrutura
• Técnicas utilizadas
• Horários de operação
• Padrões de código
• Alvos estratégicos

indicam fortes ligações com interesses chineses, especialmente em campanhas de espionagem digital e coleta de inteligência.

Diferentemente de grupos focados em ransomware ou ganhos financeiros imediatos, o UAT-7290 demonstra um comportamento típico de operações estatais.

Clique aqui e teste por 30 dias grátis nossos serviços de hospedagem

Por que empresas de telecomunicações são o alvo?

O setor de telecomunicações é extremamente valioso para operações de espionagem porque concentra:

• Metadados de comunicação
• Informações de localização
• Infraestrutura de backbone da internet
• Dados sensíveis de governos e empresas
• Tráfego internacional de voz e dados

Ao comprometer uma operadora de telecom, um atacante pode:

• Monitorar comunicações
• Coletar inteligência estratégica
• Facilitar ataques a outros setores
• Manter acesso persistente e discreto

Por isso, ataques a esse setor são tratados como ameaças à soberania digital em muitos países.

O papel do malware Linux nos ataques

Um dos aspectos mais relevantes dessa campanha é o uso de malware direcionado a sistemas Linux, que são amplamente utilizados em:

• Servidores de telecomunicações
• Infraestrutura de rede
• Sistemas de roteamento
• Appliances de segurança
• Ambientes de missão crítica

Capacidades do malware Linux

O malware empregado pelo UAT-7290 apresenta funcionalidades como:

• Execução remota de comandos
• Coleta de informações do sistema
• Persistência avançada
• Comunicação efetiva com servidores C2
• Movimentação lateral dentro da rede

Por operar em Linux, o malware se beneficia de menor visibilidade em ambientes onde a segurança costuma ser mais focada em sistemas Windows.

O que são nós ORB (Operational Relay Box)?

Os nós ORB são sistemas intermediários comprometidos, usados como pontos de retransmissão operacional entre o atacante e o alvo final.

Em vez de se conectar diretamente aos servidores de comando e controle, o UAT-7290 utiliza uma rede distribuída de ORBs, o que oferece várias vantagens:

• Ocultação da origem real do ataque
• Dificuldade de atribuição
• Maior resiliência contra derrubadas
• Comunicação fragmentada e descentralizada

Esses nós costumam ser:

• Servidores Linux comprometidos
• Dispositivos mal configurados
• Sistemas esquecidos ou sem monitoramento

Por que os nós ORB dificultam a detecção?

Diferentemente de infraestruturas C2 tradicionais, os ORBs:

• Misturam tráfego malicioso com tráfego legítimo
• Mudam constantemente
• Operam em múltiplas regiões
• Usam protocolos comuns (HTTPS, SSH)

Isso torna a detecção por firewalls tradicionais e soluções baseadas apenas em assinatura muito mais difícil.

Técnicas avançadas de persistência e evasão

A campanha do UAT-7290 demonstra o uso de técnicas modernas, como:

• Execução apenas em memória
• Uso de ferramentas nativas do sistema
• Ofuscação de comunicações
• Limitação de atividades para evitar alertas
• Coleta seletiva de dados

Essas práticas são típicas de operações de espionagem de longo prazo, onde o objetivo é não ser detectado, e não causar impacto imediato.

Quem está mais exposto a esse tipo de ataque?

Os principais alvos incluem:

• Operadoras de telecomunicações
• Provedores de internet
• Empresas que operam backbone de rede
• Data centers regionais
• Fornecedores de infraestrutura crítica

Especialmente vulneráveis estão ambientes que:

• Executam Linux sem monitoramento contínuo
• Possuem serviços expostos à internet
• Estão desatualizados
• Não adotam segmentação de rede

O alerta para infraestrutura crítica

O caso do UAT-7290 reforça uma realidade preocupante:
Infraestruturas críticas são alvos prioritários de ciberespionagem estatal.

Isso exige uma abordagem de segurança muito mais madura, incluindo:

• Monitoramento contínuo
• Defesa em profundidade
• Resposta a incidentes bem definida
• Infraestrutura resiliente

Segurança começa na base da infraestrutura

Mesmo as melhores estratégias de defesa falham quando a infraestrutura é frágil, mal configurada ou sem isolamento adequado.

Servidores Linux expostos, sem hardening e sem monitoramento, tornam-se candidatos ideais para virar nós ORB sem que ninguém perceba.

Proteja sua infraestrutura antes que ela vire um nó ORB

Campanhas como a do UAT-7290 mostram que qualquer servidor mal protegido pode ser transformado em parte de uma operação global de espionagem.

Com a Hostec, você conta com:

• Infraestrutura monitorada
• Ambientes isolados
• Hardening básico aplicado
• Base sólida para projetos críticos e corporativos

O que aprender com o caso UAT-7290?

Esse incidente deixa lições claras:

• Linux também é alvo prioritário
• Infraestrutura crítica exige segurança contínua
• ORBs tornam ataques mais furtivos
• Detecção tradicional não é suficiente
• Prevenção começa na configuração correta do servidor

Empresas que negligenciam esses pontos acabam se tornando peças invisíveis em operações de espionagem internacional.

O grupo UAT-7290, com ligações à China, demonstra como a ciberespionagem moderna evoluiu para operações silenciosas, persistentes e altamente técnicas.

Ao combinar malware Linux com uma rede de nós ORB, o grupo consegue manter acesso prolongado a empresas de telecomunicações — um dos setores mais estratégicos da economia digital.

Para organizações que operam infraestrutura crítica, a mensagem é clara:
segurança não é opcional, é parte da soberania digital.

Clique aqui e testepor 30 dias grátis nossos serviços de hospedagem