Un ciberataque de cuatro meses de duración contra una empresa estadounidense expone una amenaza avanzada vinculada a piratas informáticos chinos
Un ciberataque descubierto recientemente ha sacado a la luz una operación altamente sofisticada dirigida contra una importante organización estadounidense, con evidencias que apuntan a piratas informáticos patrocinados por un estado chino. Esta intrusión alarmante, detallada en un informe de Symantec, propiedad de Broadcom, duró al menos cuatro meses este año, comenzando en abril y posiblemente antes. El alcance y los métodos del ataque subrayan las estrategias cambiantes de los adversarios cibernéticos y los riesgos que enfrentan las organizaciones críticas en todo el mundo.
Tabla de contenido
Tácticas y herramientas sofisticadas resaltan amenazas avanzadas
Symantec identificó por primera vez los indicios de la vulneración el 11 de abril de 2024 y descubrió que el ataque persistió durante todo agosto. Durante este tiempo, los atacantes se movieron lateralmente por la red de la víctima, comprometiendo numerosas máquinas. Algunos de los sistemas atacados eran servidores Microsoft Exchange, una maniobra que sugiere que los atacantes intentaron recopilar información accediendo a datos confidenciales de correo electrónico.
Las herramientas de exfiltración implementadas durante la campaña confirman además que se extrajo información valiosa de la infraestructura de la víctima. Los piratas informáticos emplearon una combinación de herramientas de código abierto y utilidades integradas de Windows para continuar con su ataque. Se implementaron herramientas como FileZilla, Impacket y PSCP junto con técnicas de "living off the land", aprovechando Windows Management Instrumentation (WMI), PsExec y PowerShell para ejecutar comandos maliciosos y mezclarse con la actividad legítima de la red.
El papel de China y el uso de técnicas de ciberespionaje
Aunque no se ha revelado el nombre de la organización atacada, sus importantes operaciones en China refuerzan las sospechas de que los atacantes estaban vinculados a grupos patrocinados por el Estado chino. El ciberataque se basó en gran medida en la carga lateral de DLL, una táctica característica de los equipos de piratería chinos. Los artefactos de la brecha se alinean con los observados en "Crimson Palace", una operación anterior respaldada por el Estado. Además, esta organización había sido atacada anteriormente en 2023 por un grupo conocido como Daggerfly, también conocido como Bronze Highland, Evasive Panda y StormBamboo.
Implicaciones más amplias para la ciberseguridad
Esta brecha refleja tendencias más amplias dentro del ecosistema de ciberofensivas de China, que Orange Cyberdefense ha analizado en detalle. Las operaciones patrocinadas por el Estado chino a menudo difuminan las fronteras entre entidades públicas y privadas, aprovechando las universidades para la investigación avanzada y empleando contratistas para ejecutar los ataques. Las empresas falsas son creadas con frecuencia por individuos conectados con unidades militares o de inteligencia chinas para ocultar la atribución, adquirir infraestructura digital y reclutar piratas informáticos sin levantar sospechas.
Estos hallazgos ponen de relieve la naturaleza persistente y avanzada de las operaciones cibernéticas chinas. La campaña dirigida contra esta empresa estadounidense sirve como un duro recordatorio de la evolución del panorama de amenazas y de la importancia de contar con sólidas defensas de ciberseguridad para proteger los activos críticos de los adversarios de los estados-nación.