Resumen sobre Ciberataques Asociados a Grupos de Espionaje Chinos
Recientemente, se ha descubierto que más de 75 empresas, entre ellas una compañía de servicios de TI, un grupo de medios europeo y un organismo gubernamental del sur de Asia, han sido víctimas de malware vinculado a grupos de espionaje asociados con China. Este hallazgo fue revelado por Sentinellabs, el brazo de investigación de la empresa de ciberseguridad Sentinelone, tras un intento fallido de intrusión en sus propios servidores en octubre. Este incidente levantó alertas en el equipo de seguridad, llevando a una investigación más exhaustiva.
Proceso de Investigación
El investigador Tom Hegel explicó que este fallo en su infraestructura les permitió profundizar en la campaña de malware empleada, que incluye el uso de "Shadowpad" y actividades maliciosas denominadas "Purplehaze". Atribuyen la responsabilidad de estas intrusiones a grupos como APT15 y UNC5174, conocidos por sus vínculos con el gobierno chino y su enfoque en sectores estratégicos como telecomunicaciones, servicios de TI y administración pública.
Durante su análisis, Sentinellabs identificó más de 70 víctimas en diversas industrias, lo que sugiere que los autores de estos ataques buscan establecer una posición estratégica para un posible conflicto futuro. Hegel destacó que estos ciberataques representan el “preposicionamiento para el conflicto”, donde los atacantes pueden apuntar a organizaciones gubernamentales y de medios para facilitar espionaje o manipulación mediática en un contexto de crisis.
Amenaza de Shadowpad
La investigación también reveló que una entidad gubernamental del sur de Asia había sufrido una violación de seguridad relacionada con el uso del malware "Shadowpad". Este software maligno, utilizado por varios grupos alineados con China, fue detectado en un ataque que remonta a junio de 2024. A través de este hallazgo, el equipo de Sentinelone pudo rastrear otros ataques y víctimas relacionadas.
En octubre de 2024, se detectó un segundo ataque contra la misma entidad gubernamental, involucrando una infraestructura utilizada por grupos de ciberespionaje chinos. Los atacantes emplearon puertas traseras de la familia Gorevera, que han sido asociadas con UNC5174. Este ataque inicial se logró utilizando dos vulnerabilidades críticas en software de administración de sistemas.
Vulnerabilidades Críticas y sus Consecuencias
Las vulnerabilidades explotadas, CVE-2024-8963 y CVE-2024-8190, permitieron a los atacantes eludir autenticaciones, lo que les ofreció acceso inicial a sistemas críticos. Las autoridades, incluyendo CISA y el FBI, habían emitido advertencias sobre dichas vulnerabilidades, las cuales se consideraron explotadas antes de ser reveladas públicamente.
Implicaciones de Seguridad
Estos descubrimientos subrayan la creciente amenaza que representan los grupos de ciberespionaje chinos, cuyas actividades reflejan un interés estratégico en aprovechar las vulnerabilidades de infraestructura crítica. Hegel enfatiza que el número de 75 víctimas es posiblemente una cifra baja, ya que nuevas organizaciones siguen siendo comprometidas en un contexto de ciberataques en constante evolución.
El equipo de Sentinellabs continúa su trabajo para identificar las conexiones entre estas actividades maliciosas y determinar los grupos detrás de ellas. A pesar de la confianza en las atribuciones hacia China, el análisis sigue en curso para esclarecer los vínculos precisos con las redes de intrusos y evaluar el alcance de su actividad maliciosa.
Conclusión
La reciente investigación de Sentinelone pone de manifiesto una compleja red de espionaje cibernético que no solo amenaza la seguridad de empresas y gobiernos, sino que también plantea serias preocupaciones sobre la preparación y la protección de infraestructuras críticas frente a futuros conflictos. La situación exige una vigilancia continua y un enfoque proactivo en la ciberseguridad para mitigar los riesgos asociados.