Veintitrés agencias cibernéticas, de defensa e inteligencia de Estados Unidos y otros países publicaron el 27 de agosto un aviso conjunto en el que se describía el manual utilizado por los piratas informáticos patrocinados por el Estado chino que violaron las principales telecomunicaciones estadounidenses en 2024 y se instaba a las redes a buscar esta actividad maliciosa.
Las autoridades afirman que estos actores maliciosos han comprometido redes de todo el mundo para alimentar un sistema de espionaje patrocinado por el Estado chino.
Nombraron a tres empresas chinas vinculadas a la campaña, conocida popularmente como Salt Typhoon.
Una de ellas es Sichuan Juxinhe Network Technology Co., Ltd., sancionada por Estados Unidos. Las otras dos empresas no se habían revelado anteriormente: Beijing Huanyu Tianqiong Information Technology Co., Ltd. y Sichuan Zhixin Ruijie Network Technology Co., Ltd.
Nombrar a las empresas asociadas con las actividades cibernéticas maliciosas del régimen chino proporciona a los investigadores cibernéticos más información sobre las capacidades de las distintas campañas.
"Estas empresas proporcionan productos y servicios relacionados con la cibernética a los servicios de inteligencia de China, incluidas múltiples unidades del Ejército Popular de Liberación y el Ministerio de Seguridad del Estado", se lee en el informe, firmado conjuntamente por agencias de Estados Unidos, Australia, Canadá, Nueva Zelanda, Reino Unido, República Checa, Finlandia, Alemania, Italia, Japón, Países Bajos, Polonia y España.
Las autoridades confirmaron en 2024 que docenas de países se vieron afectados por Salt Typhoon. El Wall Street Journal informó el 27 de agosto que, dijo el FBI, esta campaña ha afectado a más de 80 países.
"El ataque indiscriminado de Beijing a las comunicaciones privadas exige una colaboración más estrecha con nuestros socios para identificar y contrarrestar esta actividad en sus primeras etapas", dijo Brett Leatherman, jefe de la División Cibernética del FBI, en una declaración en video.
El director ejecutivo del Centro Nacional de Ciberseguridad del Reino Unido, Richard Horne, dijo en un comunicado: "Estamos profundamente preocupados por el comportamiento irresponsable de las entidades comerciales con sede en China que han permitido una campaña desenfrenada de actividades cibernéticas maliciosas a escala mundial".
La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de EE. UU. afirmó en un comunicado del 27 de agosto que el informe se basa en "investigaciones reales llevadas a cabo en varios países hasta julio de 2025".
Las autoridades señalan que esta amenaza persistente avanzada (APT) coincide con lo que Microsoft denomina Salt Typhoon, CrowdStrike como Operator Panda e Insikt Group como RedMike, así como con otros investigadores cibernéticos que utilizan diferentes métodos de seguimiento y nombres.
Además de las redes de telecomunicaciones, los hackers patrocinados por el Estado chino robaron datos de proveedores de servicios de Internet y violaron los sectores de alojamiento y transporte, lo que en conjunto da al régimen chino la capacidad de rastrear las comunicaciones y los movimientos de sus objetivos en todo el mundo, según el informe. El grupo también violó las redes de defensa.
"Estos actores APT están explotando las vulnerabilidades de los grandes routers troncales de los proveedores de telecomunicaciones, concretamente los routers de borde de proveedor y de borde de cliente, que a menudo carecen de visibilidad y son difíciles de supervisar, para obtener y mantener un acceso persistente", dijo la CISA. "A menudo modifican el firmware y las configuraciones de los routers para evadir la detección y establecer puntos de apoyo a largo plazo".
Según el informe, la campaña "lleva realizando operaciones maliciosas a nivel mundial desde al menos 2021", aprovechando principalmente vulnerabilidades conocidas públicamente.
Según el informe, no se observó que estos actores APT utilizaran exploits de día cero, que son vulnerabilidades que los proveedores aún no han tenido la oportunidad de parchear, sino que se basaba en una colección probablemente cada vez mayor de debilidades evitables de la infraestructura.
Se insta a dar prioridad a unas cuantas de las vulnerabilidades más explotadas, la mayoría de las cuales se han revelado públicamente desde finales de 2023 o principios de 2024, y una relacionada con la función Smart Install del software Cisco IOS, que se publicó en 2018.
El informe incluye un estudio de caso que desglosa los comandos utilizados por los actores APT en una infracción específica.
También incluye directrices detalladas para la búsqueda de amenazas cibernéticas. Las autoridades advierten de que los actores APT tienden a obtener acceso a largo plazo a las redes, y que las respuestas parciales para expulsarlos pueden alertar a los hackers, lo que daría lugar a un mayor sigilo y podría perturbar las investigaciones en curso.
"Siempre que sea posible, para lograr una expulsión completa y duradera, puede ser necesario comprender plenamente el alcance del acceso de los actores APT a las redes y, a continuación, adoptar medidas simultáneas para eliminarlos", dijo el informe.
Únase a nuestro canal de Telegram para recibir las últimas noticias al instante haciendo clic aquí
