ciberespionaje chino contra contratistas de defensa de ee uu

Ciberespionaje chino contra contratistas de defensa de EE.UU.

PorCarlos Ribeiro

En el complejo mundo de la ciberseguridad, los ataques nation-state se han convertido en el pan de cada día. Y China, como no podía ser de otra manera, juega en las grandes ligas. Un claro ejemplo es lo que acaba de descubrir Recorded Future: un grupo de ciberespionaje chino ha logrado comprometer a al menos dos contratistas de defensa estadounidenses, además de organizaciones en prácticamente todos los continentes.

RedNovember: el grupo APT que no descansa

Entre julio de 2024 y julio de 2025, este actor de amenazas, al que han bautizado como RedNovember, ha estado atacando sistemáticamente a organizaciones de alto perfil en sectores críticos: gobierno, defensa, aeroespacial y otros sectores estratégicos.

Lo que más me sorprende de este grupo es su persistencia y su metodología bien definida. No son novatos precisamente. Su modus operandi se centra en comprometer dispositivos de borde (esos equipos que conectan redes internas con el exterior) de fabricantes de primera línea como Cisco, F5, Fortinet, Ivanti, Palo Alto Networks, SonicWall y Sophos. También han puesto en su punto de mira instancias de Outlook Web Access, esa puerta que muchos empleados usan para acceder a su correo corporativo desde casa.

El arsenal digital de un APT moderno

Como buen grupo de espionaje, RedNovember no escatima en herramientas. Su arsenal incluye:

  • Pantegana: un backdoor basado en Go que actúa como su principal pasarela de comando y control
  • Cobalt Strike: la herramienta de pruebas de penetración que ha terminado siendo el comodín de prácticamente todos los grupos APT
  • SparkRAT: otra puerta trasera que les permite mantener acceso persistente
  • Herramientas open source: para el acceso inicial, reconocimiento y actividades posteriores

Otro detalle interesante es su obsesión por la seguridad operativa. Estos actores utilizan ExpressVPN para gestionar sus servidores y, según parece, están adoptando Warp VPN para acceder remotamente a su infraestructura. No son descuidados, precisamente.

Objetivos globales con intereses geopolíticos

Los objetivos de RedNovember revelan claramente motivaciones de espionaje estatal. No atacan al azar, sino siguiendo lo que parece una agenda clara:

  • Portales OWA de un país sudamericano justo antes de una visita oficial a China
  • Ministerios de Asuntos Exteriores en Sudamérica y el Sudeste Asiático
  • Organismos gubernamentales y diplomáticos en África, Asia, Europa y Sudamérica
  • Una organización intergubernamental en el Sudeste Asiático (a la que, por cierto, han mantenido acceso durante largo tiempo)

Y aquí viene lo más preocupante: han puesto el foco en organizaciones de defensa y aeroespacial estadounidenses, así como en entidades de la base industrial de defensa y organizaciones militares globales, incluyendo un centro europeo de investigación espacial.

El caso de los contratistas de defensa de EE.UU.

En abril de 2025, el grupo dirigió sus esfuerzos contra un contratista de ingeniería y militar estadounidense. Aunque Recorded Future detectó comunicaciones entre la infraestructura del atacante y dos puntos finales VPN de sistemas de control industrial (ICS) dentro de la organización, no encontraron pruebas concluyentes de un compromiso exitoso.

Ese mismo mes, RedNovember realizó un reconocimiento exhaustivo contra un espacio de direcciones IP asociado a una institución educativa vinculada a la Marina de los EE.UU. Esto demuestra un interés sistemático en objetivos relacionados con la defensa estadounidense.

Más allá del sector de defensa

El espectro de objetivos de RedNovember es increíblemente amplio, lo que demuestra una estrategia de espionaje integral:

  • Empresas europeas de fabricación
  • Un bufete de abogados global
  • Una empresa de TI taiwanesa
  • Dos compañías petroleras y de gas estadounidenses
  • Múltiples instituciones financieras, entidades gubernamentales y organizaciones de medios en Fiyi
  • Un periódico estadounidense
  • Dos instituciones surcoreanas de investigación científica y regulación nuclear

La metodología de ataque: explotar lo nuevo

La estrategia principal de RedNovember se centra en el reconocimiento y la explotación de vulnerabilidades recién divulgadas en dispositivos de borde. Esta táctica es particularmente efectiva porque aprovecha la ventana de tiempo que existe entre la publicación de un parche y su implementación por parte de las organizaciones.

Entre sus objetivos técnicos preferidos destacan:

  • Firewalls GlobalProtect de Palo Alto Networks
  • Instancias Ivanti Connect Secure
  • Puertas de enlace VPN de Check Point
  • Portales de inicio de sesión Sophos UTM
  • Instancias SonicOS y SSL-VPN de SonicWall
  • Dispositivos F5 BIG-IP

La predicción de Recorded Future

Según la firma de ciberseguridad, «RedNovember, junto con otros grupos de actividad patrocinados por el estado chino, casi con toda certeza continuará teniendo como objetivo dispositivos de borde y explotando vulnerabilidades poco después de su lanzamiento.»

Esta evaluación no me sorprende en absoluto. Los dispositivos de borde representan un punto de entrada ideal: están expuestos a Internet, gestionan accesos y, en muchos casos, no reciben actualizaciones con la misma frecuencia que otros sistemas críticos.

La creciente sofisticación del espionaje digital chino

Lo que vemos con RedNovember no es un caso aislado, sino parte de una tendencia más amplia. Los grupos APT respaldados por China están demostrando una sofisticación creciente y una capacidad impresionante para mantener operaciones a largo plazo sin ser detectados.

La combinación de herramientas personalizadas como Pantegana con software legítimo de pentesting como Cobalt Strike muestra una madurez operativa notable. Además, su enfoque en dispositivos de borde demuestra un conocimiento profundo de las debilidades típicas en las infraestructuras corporativas y gubernamentales.

Para las organizaciones, especialmente aquellas en sectores críticos, esto plantea un desafío mayúsculo. Ya no basta con tener un firewall y actualizarlo de vez en cuando. La seguridad de los dispositivos de borde, la aplicación rápida de parches y la monitorización constante se han convertido en requisitos mínimos para defenderse de actores como RedNovember.

Y mientras observamos estas operaciones de espionaje digital, no podemos evitar preguntarnos: ¿qué información están buscando exactamente y cómo la utilizarán en el futuro? La respuesta, me temo, probablemente no la sabremos hasta que sea demasiado tarde.

Publicaciones Similares

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *