Los piratas informáticos chinos Volt Typhoon operaron sin ser detectados durante 5 años en infraestructura crítica de EE. UU.

El gobierno de Estados Unidos reveló recientemente que un sofisticado grupo de hackers patrocinado por el Estado chino, identificado como Volt Typhoon , logró infiltrarse en redes de infraestructura crítica dentro de Estados Unidos y Guam, sin ser detectado durante cinco años. Estos sistemas críticos a los que se dirige Volt Typhoon abarcan varios sectores, incluidos las comunicaciones, la energía, el transporte y la gestión del agua y las aguas residuales.

Lo que distingue las actividades de Volt Typhoon es su enfoque poco convencional, que se aleja de las típicas operaciones de ciberespionaje. Según las autoridades estadounidenses, las tácticas del grupo sugieren un esfuerzo premeditado para establecer un punto de apoyo dentro de las redes de TI, permitiéndoles maniobrar hacia activos de Tecnología Operacional (OT) con la intención de interrumpir funciones esenciales .

El aviso conjunto publicado por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Agencia de Seguridad Nacional (NSA) y la Oficina Federal de Investigaciones (FBI), junto con el apoyo de las naciones de la alianza de inteligencia Five Eyes, destaca la gravedad de la situación. Este grupo de hackers, también conocido como Bronze Silhouette, Insidious Taurus, UNC3236, Vanguard Panda o Voltzite, ha estado activo desde al menos junio de 2021.

El modus operandi de Volt Typhoon implica la utilización de técnicas avanzadas como "living off the land" (LotL), que les permite operar de forma encubierta combinando actividades maliciosas con comportamientos legítimos de la red. Además, emplean proxies de múltiples saltos como KV-botnet para ofuscar los orígenes de sus ataques, lo que dificulta la atribución.

CrowdStrike, una empresa de ciberseguridad, destacó la dependencia de Volt Typhoon de una amplia gama de herramientas de código abierto diseñadas para víctimas específicas, lo que demuestra un alto nivel de sofisticación y planificación estratégica. El grupo realiza reconocimientos meticulosamente, adapta sus tácticas a los entornos objetivo y mantiene la persistencia mediante el uso de cuentas válidas y fuertes medidas de seguridad operativa.

Uno de sus objetivos principales es obtener credenciales de administrador dentro de las redes, explotando fallas de escalada de privilegios para facilitar el movimiento lateral y el reconocimiento. Su estrategia a largo plazo implica mantener el acceso a entornos comprometidos, perfeccionar continuamente sus técnicas para evadir la detección y ampliar los accesos no autorizados.

Además de las credenciales robadas, Volt Typhoon emplea técnicas LotL para evitar dejar rastros de malware, mejorando su sigilo y seguridad operativa. Llegan incluso a eliminar registros específicos para ocultar sus acciones dentro de entornos comprometidos, lo que complica aún más los esfuerzos por descubrir sus actividades.

Esta revelación coincide con los hallazgos de Citizen Lab sobre una campaña de influencia generalizada, denominada PAPERWALL, que involucra a más de 123 sitios web que se hacen pasar por medios de noticias locales en 30 países. Estos sitios web, vinculados a una empresa de relaciones públicas con sede en Beijing llamada Shenzhen Haimaiyunxiang Media Co., Ltd., difunden contenido pro-China y eliminan artículos críticos después de su publicación.

Si bien la embajada china en Washington rechaza las acusaciones de desinformación, estos incidentes subrayan la creciente preocupación por las capacidades cibernéticas de China y sus operaciones de influencia a escala global.