La empresa de investigación en ciberseguridad SentinelOne identificó más de diez patentes propiedad de empresas asociadas con la campaña de hackeo informático respaldada por el Partido Comunista Chino (PCCh) conocida como Hafnium o Silk Typhoon, que revelan "tecnologías forenses y de recopilación de datos altamente intrusivas".
"Estas tecnologías ofrecen capacidades ofensivas potentes, a menudo no conocidas hasta ahora, que van desde la adquisición de datos cifrados de terminales, el análisis forense de dispositivos móviles, hasta la recopilación de tráfico de dispositivos de red", escribieron los investigadores en un informe del 30 de julio.
El informe se publicó inmediatamente después de que el Departamento de Justicia (DOJ) hiciera pública una acusación formal de 2023 contra dos hackers de la Oficina de Seguridad del Estado de Shanghái, dependiente del Ministerio de Seguridad del Estado chino.
La acusación nombró a Xu Zewei y Zhang Yu como parte de Silk Typhoon, revelando también los nombres de las empresas en las que trabajaban los hackers y detalles sobre cómo se estructuran las campañas cibernéticas respaldadas por el Estado chino.
La campaña fue responsable de los ataques informáticos de 2021 contra los servidores de Microsoft Exchange, un ataque tan generalizado que llevó a Estados Unidos, Reino Unido y la Unión Europea a emitir su primera declaración conjunta condenando la ciberactividad respaldada por el Estado chino, y al Departamento de Justicia de Estados Unidos a solicitar una orden judicial que permitiera al FBI eliminar el malware de decenas de miles de servidores civiles.
SentinelLabs señala que, aunque el grupo fue responsable de la brecha inicial de Microsoft Exchange, la actividad de Hafnium/Silk Typhoon fue seguida inmediatamente por otros grupos de amenazas que "inundaron la zona" con sus propios intentos de explotación.
Xu era director general de Shanghai Powerock Network Co., y Zhang era director de Shanghai Firetech Information Science and Technology Company.
En enero, el Departamento de Justicia había acusado a otros dos hackers de Silk Typhoon, Yin Kecheng y Zhou Shuai, revelando otra empresa tecnológica china relacionada con la campaña: Shanghai Heiying Information Technology Company.
Los investigadores descubrieron que estas empresas tenían solicitudes de patentes para herramientas de recopilación automatizada de pruebas a distancia, recopilación de pruebas de inteligencia de routers, recopilación rápida de pruebas en escenas informáticas, producción inversa de equipos defensivos, recopilación y análisis de pruebas de electrodomésticos inteligentes, recopilación de pruebas de teléfonos móviles a distancia y otras que muestran capacidades cibernéticas ofensivas.
Entre ellas se incluyen capacidades que no se habían relacionado públicamente con la campaña Silk Typhoon, como herramientas y métodos para recopilar datos de dispositivos Apple.
Los investigadores plantean la posibilidad de que estas empresas ofrezcan servicios cibernéticos ofensivos a múltiples oficinas del PCCh, lo que explicaría por qué estas capacidades no se han vinculado a la campaña Silk Typhoon.
Según los investigadores, esta nueva información pone de manifiesto la importancia de rastrear a los grupos de actores maliciosos, y no solo a los grupos de actividad. Desenmascarar a los hackers y a sus empresas no solo reveló sus capacidades, sino que arrojó nueva luz sobre si las agencias del régimen chino estaban pasando a sus contratistas exploits de software obtenidos en otros lugares.
Los investigadores señalan otra acusación formal del Departamento de Justicia contra hackers chinos en la que se indicaba que el Departamento de Seguridad del Estado de Guangdong había proporcionado malware a sus contratistas, y planteaban la posibilidad de que la Oficina de Seguridad del Estado de Shanghái hubiera obtenido el exploit que se denunció a Microsoft y lo hubiera transmitido a los contratistas de Silk Typhoon.
La filtración de iSoon en 2024 proporcionó una visibilidad sin precedentes del ecosistema cibernético del régimen chino y de cómo subcontrata diferentes niveles de operaciones cibernéticas extranjeras a diferentes tipos de grupos. Mientras que los contratistas de iSoon recibían salarios bajos y contratos menos favorables, los investigadores afirman que el grupo Silk Typhoon parece estar en el nivel más alto de contratistas, justo por debajo de los operativos cibernéticos estatales internos.
Únase a nuestro canal de Telegram para recibir las últimas noticias al instante haciendo click aquí
