Los ciberdelincuentes patrocinados por el Estado chino están utilizando el malware BRICKSTORM para infectar entidades gubernamentales y empresas privadas de EE. UU., obteniendo acceso a largo plazo a los sistemas de las víctimas, según informó la Agencia de Seguridad Cibernética y de Infraestructuras (CISA) en una alerta el 4 de diciembre.
La CISA, la Agencia de Seguridad Nacional (NSA) y el Centro Canadiense de Seguridad Cibernética publicaron un informe conjunto de análisis de malware en el que se detalla la amenaza que supone este programa malicioso.
BRICKSTORM proporciona a los piratas informáticos una sofisticada puerta trasera a los sistemas que ejecutan Windows y VMware vSphere.
Según el informe conjunto, la CISA analizó ocho muestras de BRICKSTORM obtenidas de organizaciones víctimas.
"Todas las muestras analizadas permiten a los ciberdelincuentes mantener un acceso sigiloso", afirma el documento.
En una de las organizaciones afectadas, la CISA llevó a cabo una intervención de respuesta a incidentes y descubrió que hackers respaldados por China habían obtenido acceso a las redes internas de la entidad en abril de 2024, manteniéndolo al menos hasta el 3 de septiembre.
Una vez dentro de los sistemas, BRICKSTORM establece una conexión con el servidor del atacante, "asegura las comunicaciones con el servidor y permite a los ciberdelincuentes controlar totalmente el sistema comprometido".
Con este acceso, los atacantes pueden extraer credenciales confidenciales y crear máquinas virtuales ocultas para evadir la detección, según el informe.
Amenaza de piratería informática china
China es una de las principales preocupaciones de Estados Unidos en materia de ciberseguridad.En julio, Microsoft dijo que dos grupos de piratas informáticos con sede en China, Linen Typhoon y Violet Typhoon, estaban explotando vulnerabilidades en SharePoint.
Ese mismo mes, Eye Security, una empresa neerlandesa, reportó una campaña masiva de piratería contra servidores SharePoint que afectó a más de 400 víctimas.
Según la Evaluación Anual de Amenazas de marzo de 2025 de la Comunidad de Inteligencia de Estados Unidos, China sigue siendo la "amenaza cibernética más activa y persistente" para el Gobierno estadounidense, el sector privado y las redes de infraestructuras críticas.
La campaña china, cuyo objetivo era infiltrar infraestructuras críticas estadounidenses para utilizarlas en crisis o conflictos, "demuestra la creciente amplitud y profundidad de la capacidad de la República Popular China para comprometer las infraestructuras estadounidenses".
"Si Beijing creyera que un conflicto importante con Washington es inminente, podría plantearse operaciones cibernéticas agresivas contra infraestructuras críticas y activos militares estadounidenses", señala el informe
"Estos ataques buscarían impedir la toma de decisiones, generar pánico social e interferir en el despliegue militar".
Durante una audiencia en el Senado el 2 de diciembre, la senadora Deb Fischer (R-Neb.) describió la urgente necesidad de fortalecer las redes de comunicaciones de Estados Unidos, citando amenazas cibernéticas, según una declaración del Comité de Comercio, Ciencia y Transporte del Senado.
Los actores de amenazas están implementando tecnología avanzada a gran escala para intentar socavar nuestras redes en todo momento. Estos ataques también se potencian cada vez más con inteligencia artificial, afirmó.
“El Congreso debe coordinarse con la industria y garantizar una respuesta federal sólida”.
Riesgos de BRICKSTORM
"BRICKSTORM permite a los actores de amenazas cibernéticas mantener un acceso sigiloso y proporciona capacidades de iniciación, persistencia y comando y control seguros", decía la alerta del 4 de diciembre.“BRICKSTORM también incorpora mecanismos de persistencia a largo plazo, como una función de autosupervisión que reinstala o reinicia automáticamente el malware si se interrumpe, lo que garantiza su funcionamiento continuo.
"Las organizaciones de víctimas se encuentran principalmente en los sectores de servicios e instalaciones gubernamentales y tecnología de la información".
El malware utiliza funcionalidades avanzadas para llevar a cabo sus tareas, incluidas múltiples capas de cifrado y métodos para ocultar las comunicaciones, según CISA.
CISA, NSA y la agencia canadiense aconsejaron a las organizaciones utilizar los indicadores de compromiso y las firmas de detección proporcionados en el informe para identificar muestras de malware BRICKSTORM.
También recomendaron que las organizaciones implementen ciertas mitigaciones para mejorar su postura de ciberseguridad frente a las amenazas planteadas por los piratas informáticos chinos que utilizan BRICKSTORM.
Esto incluye garantizar una segmentación de red adecuada que restrinja el tráfico de red, aumentar la supervisión de cuentas de servicio con privilegios de alto nivel y supervisar la conectividad de red sospechosa que se origina en dispositivos de borde de la red.
Estas medidas de mitigación se alinean con los Objetivos de Desempeño de Ciberseguridad Intersectoriales (CPG) desarrollados por CISA y el Instituto Nacional de Estándares y Tecnología (NIST).
"Las CPG proporcionan un conjunto mínimo de prácticas y protecciones que CISA y NIST recomiendan que todas las organizaciones implementen", señala el informe.
Las CPG se basan en "marcos y directrices de ciberseguridad existentes para protegerse contra las amenazas, tácticas, técnicas y procedimientos más comunes e impactantes", según el informe.
Únase a nuestro canal de Telegram para recibir las últimas noticias al instante haciendo click aquí
