האקרים סיניים תקפו בסייבר תשתיות קריטיות בארה"ב

קבוצת האקרים סינית, הפועלת בחסות המדינה, תקפה תשתיות קריטיות בארה"ב ובצפון אמריקה מאז השנה שעברה. טאלוס (Talos), קבוצת מחקר מודיעין האיומים של סיסקו (Cisco), פרסמה דו"ח בנושא בסוף השבוע. לדבריה, "אנו עוקבים מקרוב אחרי UAT-8837, שחקן איום מתמשך (APT) הפועל בגיבוי סין. ה-TTPs (טקטיקות, טכניקות ונהלים) שלה חופפים עם אלו של שחקני איום ידועים אחרים הפועלים בחסות סין".

"למרות שהיעדים אליהם כיוונו חברי הקבוצה עשויים להיראות מפוזרים", כתבו חוקרי טאלוס, "הרי שלפחות מאז 2025, הקבוצה התמקדה בבירור ביעדים במגזרי התשתיות הקריטיים בצפון אמריקה".

Cisco Talos reports that UAT-8837, a suspected China-linked APT, has been targeting critical infrastructure in North America since 2025, using advanced tactics to gain access and harvest sensitive information. #cybersecurity #APT https://t.co/yO1XkDmPaN

— Cyber_OSINT (@Cyber_O51NT) January 16, 2026

"חברי UAT-8837 עושים שימוש בקוד פתוח לגניבת אישורים"

לאחר קבלת גישה לארגון הקורבן, באמצעות ניצול אישורים, או עם אישורים גנובים, "חברי UAT-8837 עושים שימוש בכלים בקוד פתוח כדי לגנוב אישורים, למפות סביבות של אקטיב דיירקטורי (AD), לשמור על המשך הגישה למערכות הקורבן, ולבצע מתקפות", הסבירו בטאלוס.

עוד ציינו החוקרים כי הם מצאו עדויות לכך שחברי הקבוצה ניצלו פרצות יום אפס. לאחר קבלת גישה ראשונית למערכות הקורבן, חברי UAT-8837 עורכים סיורים ומחלישים את מערכי ההגנות בסביבת ה-IT של היעד. לפי החוקרים, ההאקרים מורידים כלים רבים לאחר הכניסה הראשונית שלהם: "כדי להרחיב את הגישה, לשמור על עקביות והמשכיות, ולפגוע עוד יותר". החוקרים הוסיפו כי באמצעות הפעילות מרובת הדרכים של חברי הקבוצה, הם מצליחים לגנוב פרטי התחברות ונתונים רגישים, וכך ביכולתם להחדיר סוסים טרויאניים, לבצע הנדסה הפוכה ולתכנן ולממש מתקפות עתידיות בשרשרת האספקה. חוקרי טאלוס-סיסקו לא ציינו את זהות הארגונים שהותקפו, או את מיקומם.

לפי פורטיגארד (FortiGuard), גוף מחקר האיומים של פורטינט, "UAT-8837 משיגה גישה ראשונית בעיקר על ידי ניצול פגיעויות ביישומים ציבוריים, כולל פגמים ידועים לצד פגיעויות 'יום אפס' שלא נחשפו בעבר. בפעילות האחרונה של חברי הקבוצה, הם ניצלו את החולשה המסומנת CVE-2025-53690, השייכת לפגיעות במוצרי Sitecore. מהלך זה מצביע על יכולות ניצול מתקדמות שלהם. Sitecore היא פלטפורמת חוויה דיגיטלית המספקת יכולות ניהול תוכן, התאמה אישית ומסחר אלקטרוני עבור ארגונים. הפגם מאפשר להאקרים לבצע RCE – השתלטות מרחוק על מערכות הקורבן".

חוקרי פורטיגארד סיימו בכותבם: "ארגונים נדרשים לתקן באופן מיידי את כל היישומים הציבוריים שנחשפו, תוך מתן עדיפות לפריסות Sitecore שנפגעו מהחולשה".