espionaje chino 393 dias acechando en las redes en busca de vulnerabilidades

Espionaje chino: 393 días acechando en las redes en busca de vulnerabilidades

PorCarlos Ribeiro

Cuando hablamos de ataques por países, siempre me pregunto quién tendrá más paciencia: si el atacante o el defensor. Y cuando se trata de China, parece que la respuesta está clara. Un nuevo informe de Google revela una operación de espionaje digital donde los atacantes han batido récords de permanencia en las redes comprometidas: 393 días de media. Casi nada.

El grupo APT chino que rompe todos los esquemas

El equipo de inteligencia de amenazas de Google (Google Threat Intelligence Group) y la unidad Mandiant han identificado a UNC5221, un grupo APT (Advanced Persistent Threat) de origen chino, como responsable de esta campaña de ciberespionaje. Lo interesante es que aunque muchos analistas lo relacionan con Silk Typhoon, los investigadores de Google creen que son entidades diferentes.

La campaña, que Mandiant monitoriza desde marzo de 2025, tiene un enfoque muy selectivo. No atacan a cualquiera: se centran en servicios legales, proveedores SaaS (Software as a Service), empresas tecnológicas y compañías de BPO (Business Process Outsourcing).

BrickStorm: el backdoor silencioso que desafía la detección

El arma principal de este grupo es BrickStorm, un backdoor extremadamente sigiloso. Lo que lo hace particularmente peligroso es su capacidad para operar en dispositivos donde las soluciones tradicionales de seguridad no funcionan bien.

«Lo que me parece más alarmante es cómo han adaptado BrickStorm para sistemas basados en Linux y BSD», te diría cualquier experto en ciberseguridad. Mandiant ha detectado esta amenaza en diversos tipos de appliances (dispositivos de red especializados), pero aún no ha encontrado la supuesta versión para Windows que mencionan otros informes.

Una de sus tácticas favoritas es apuntar consistentemente a servidores VMware vCenter y hosts ESXi. Y lo hacen con método:

  1. Primero despliegan BrickStorm en un dispositivo de red
  2. Luego, utilizan este punto de apoyo para moverse lateralmente hacia sistemas VMware
  3. Acceden a los servidores vCenter usando credenciales válidas (probablemente capturadas por el malware instalado en los dispositivos de red)

Más allá del espionaje tradicional: la búsqueda de vulnerabilidades zero-day

Si piensas que esto es simplemente otra operación de espionaje, te equivocas. El objetivo va mucho más allá de robar datos confidenciales.

Charles Carmakal, CTO de Mandiant Consulting en Google Cloud, lo explicó claramente: «Los atacantes están robando código fuente propietario y otra propiedad intelectual relacionada con tecnologías empresariales que utilizan muchas otras compañías».

¿Por qué? Porque analizan ese código para encontrar fallos y vulnerabilidades zero-day que puedan explotar posteriormente. Es una estrategia de doble impacto:

  • Víctimas directas: las empresas que sufren el robo inicial
  • Víctimas secundarias: todas las organizaciones que utilizan los productos comprometidos

La cadena de suministro digital como vector de ataque

Lo más sofisticado de esta operación es cómo aprovechan la cadena de suministro digital. Al comprometer proveedores de SaaS, los atacantes pueden usar ese acceso como trampolín para alcanzar a sus clientes.

Este método no es nuevo, pero la paciencia y meticulosidad con que lo ejecutan sí lo es. Imagina a alguien que, en lugar de entrar por la puerta principal, prefiere esperar más de un año observando desde dentro para encontrar la manera de colarse en todas las habitaciones de la casa.

El problema del acceso inicial y la persistencia extrema

Uno de los mayores desafíos para los investigadores ha sido determinar cómo consiguieron el acceso inicial. Cuando alguien se mueve por tu red durante más de un año, los rastros iniciales suelen desvanecerse.

Sin embargo, en al menos un caso, se cree que explotaron una vulnerabilidad zero-day en un producto de Ivanti. Esto sigue el patrón que vemos repetidamente en los nation-state hackers: el uso de vulnerabilidades desconocidas para garantizar el acceso a objetivos de alto valor.

La media de 393 días de permanencia debería hacernos reflexionar sobre nuestras capacidades de detección. ¿Cuántos atacantes podrían estar ahora mismo dentro de nuestras redes, esperando pacientemente el momento adecuado para actuar?

Implicaciones para la seguridad global

Esta campaña demuestra que el espionaje cibernético ha evolucionado. Ya no se trata solo de robar información específica, sino de crear un arsenal de vulnerabilidades que pueden utilizarse estratégicamente en el futuro.

Para las organizaciones, esto significa que deben:

  1. Prestar especial atención a la seguridad de los appliances de red y virtualización
  2. Implementar soluciones de detección más allá de los endpoints tradicionales
  3. Vigilar el comportamiento anómalo en la red, incluso cuando parece inofensivo
  4. Considerar a los proveedores de servicios como posibles vectores de ataque

El panorama de amenazas nation-state no deja de evolucionar, y campañas como esta demuestran que la paciencia es una de las armas más poderosas en el arsenal de los APT. A veces, el peligro no está en el ataque frontal, sino en quien espera silenciosamente, observando cada movimiento durante más de un año.

Publicaciones Similares

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *