Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Amenaza persistente avanzada (APT) Campaña de compromiso de la nube UNC4899

Campaña de compromiso de la nube UNC4899

Por Mezo en Amenaza persistente avanzada (APT)
Traducir a:

Una sofisticada ciberintrusión ocurrida en 2025 se ha vinculado al actor de amenazas norcoreano UNC4899, un grupo sospechoso de orquestar una vulneración a gran escala de una organización de criptomonedas que resultó en el robo de millones de dólares en activos digitales. La campaña se ha atribuido con cierta certeza a este adversario patrocinado por el Estado, al que también se le rastrea bajo otros nombres, como Jade Sleet, PUKCHONG, Slow Pisces y TraderTraitor.

El incidente destaca por su metodología multicapa. Los atacantes combinaron la ingeniería social con la explotación de mecanismos de transferencia de datos entre personas y empresas, y posteriormente se adentraron en la infraestructura en la nube de la organización. Una vez dentro del entorno de la nube, se abusó de flujos de trabajo legítimos de DevOps para recopilar credenciales, evadir los límites de los contenedores y manipular bases de datos de Cloud SQL para facilitar el robo.

Del dispositivo personal a la red corporativa: el compromiso inicial

El ataque comenzó con una campaña de ingeniería social cuidadosamente diseñada. Un desarrollador de la organización atacada fue engañado para que descargara un archivo que se presentaba como parte de un proyecto legítimo de colaboración de código abierto. Tras descargar el archivo a un dispositivo personal, el desarrollador lo transfirió a una estación de trabajo corporativa mediante AirDrop, superando involuntariamente la barrera de seguridad entre los entornos personal y empresarial.

La interacción con el archivo se realizó mediante un Entorno de Desarrollo Integrado (IDE) asistido por IA. Durante este proceso, se ejecutó código Python malicioso incrustado en el archivo. El código implementó un binario camuflado en la herramienta de línea de comandos de Kubernetes, lo que le permitía simular legitimidad mientras realizaba operaciones maliciosas.

El archivo binario contactó entonces con un dominio controlado por los atacantes y funcionó como una puerta trasera dentro del sistema corporativo. Esta posición permitió a los adversarios pasar de la estación de trabajo comprometida al entorno de Google Cloud de la organización, probablemente aprovechando sesiones autenticadas activas y credenciales accesibles.

Una vez dentro de la infraestructura de la nube, los atacantes comenzaron una fase de reconocimiento diseñada para identificar servicios, proyectos y puntos de acceso que podrían aprovecharse para un mayor compromiso.

Explotación del entorno de nube y escalada de privilegios

Durante la fase de reconocimiento, los atacantes identificaron un host bastión en el entorno de nube. Al modificar el atributo de la política de autenticación multifactor del host, se logró un acceso no autorizado. Este acceso permitió realizar actividades de reconocimiento más profundas, incluyendo la navegación a pods específicos dentro del entorno de Kubernetes.

Los atacantes adoptaron entonces una estrategia de almacenamiento fuera de la nube, basándose principalmente en herramientas y configuraciones legítimas en la nube en lugar de malware externo. La persistencia se logró modificando las configuraciones de implementación de Kubernetes para que un comando bash malicioso se ejecutara automáticamente al crear nuevos pods. Este comando recuperaba e implementaba una puerta trasera, lo que garantizaba el acceso continuo.

Las acciones clave realizadas por el actor de amenazas durante la vulneración incluyeron:

  • Modificar los recursos de Kubernetes asociados con la plataforma CI/CD de la organización para inyectar comandos que expusieron tokens de cuentas de servicio en los registros del sistema.
  • Adquirir un token vinculado a una cuenta de servicio CI/CD altamente privilegiada, lo que permite la escalada de privilegios y el movimiento lateral hacia un pod responsable de las políticas de red y el equilibrio de carga.
  • Usar el token robado para autenticarse en un pod de infraestructura sensible que opera en modo privilegiado, escapar del entorno del contenedor e instalar una puerta trasera persistente.
  • Realizar un reconocimiento adicional antes de apuntar a una carga de trabajo responsable de administrar información de clientes, incluidas identidades de usuarios, detalles de seguridad de cuentas y datos de billeteras de criptomonedas.
  • Extracción de credenciales de base de datos estáticas que se almacenaron incorrectamente dentro de las variables de entorno del pod.
  • Aprovechar esas credenciales a través del proxy de autenticación de Cloud SQL para acceder a la base de datos de producción y ejecutar comandos SQL que modificaron cuentas de usuario, incluidos restablecimientos de contraseñas y actualizaciones de semillas de autenticación multifactor para varias cuentas de alto valor.

Estas manipulaciones finalmente permitieron a los atacantes controlar las cuentas comprometidas y retirar con éxito varios millones de dólares en criptomonedas.

Implicaciones de seguridad de las transferencias de datos entre entornos

El incidente pone de relieve varias vulnerabilidades de seguridad críticas comunes en los entornos modernos de la nube. Los mecanismos de transferencia de datos entre particulares y empresas, como AirDrop, pueden eludir involuntariamente los controles de seguridad empresariales, lo que permite que el malware instalado en dispositivos personales llegue a los sistemas corporativos.

Otros factores de riesgo incluyeron el uso de modos de contenedor privilegiados, una segmentación insuficiente entre cargas de trabajo y el almacenamiento inseguro de credenciales confidenciales en variables de entorno. Cada una de estas debilidades aumentó el radio de acción de la intrusión una vez que los atacantes se afianzaron.

Estrategias defensivas para mitigar amenazas similares

Las organizaciones que operan infraestructuras basadas en la nube, especialmente aquellas que gestionan activos financieros o criptomonedas, deben implementar controles defensivos en capas que aborden los riesgos de los puntos finales y de la nube.

Las medidas de mitigación eficaces incluyen:

  • Implementación de controles de acceso sensibles al contexto y autenticación multifactor resistente al phishing.
  • Garantizar que solo se implementen imágenes de contenedores confiables y verificadas en entornos de nube.
  • Aislar los nodos comprometidos y evitar que establezcan conexiones con hosts externos.
  • Supervisión de entornos de contenedores para detectar procesos inesperados o comportamiento de ejecución anómalo.
  • Adopción de prácticas robustas de gestión de secretos para eliminar el almacenamiento de credenciales en variables de entorno.
  • Aplicar políticas de puntos finales que deshabiliten o restrinjan las transferencias de archivos entre pares, como AirDrop o Bluetooth, y evitar el montaje de medios externos no administrados en dispositivos corporativos.

Una estrategia integral de defensa en profundidad que valide la identidad, restrinja las vías de transferencia de datos no controladas y aplique un estricto aislamiento en tiempo de ejecución dentro de entornos de nube puede reducir significativamente el impacto de campañas de intrusión avanzadas similares.

Tendencias

Un Método Actualizado Para Bloquear los Virus...

Seguridad informática
Un virus informático es un programa informático que no sólo suena desagradable, pero también es peligroso de tener en su sistema informático, no importa qué tipo de virus es, malware, adware, spyware, etc.. Cuando un nuevo virus informático invade el mundo de la informática en línea, hay menos probabilidad de que el software anti-virus del usuario sea capaz de ser lo suficientemente eficaz para...

Mas Visto

Cargando...