Asedio Cibernético: Hackers Estatales Chinos Desatan un Sofisticado Arsenal de Malware en Telecomunicaciones Sudamericanas

Todo comenzó con un susurro: un puñado de operadores de telecomunicaciones sudamericanos reportando extrañas ralentizaciones de red y comportamientos inexplicables en sus sistemas. Pero detrás de estas anomalías se escondía una ofensiva digital calculada: una nueva ola de ciberataques, orquestada por un grupo respaldado por el Estado chino que empuña un arsenal de malware nunca antes visto. ¿El objetivo? El corazón mismo de la infraestructura de comunicaciones regional.

La campaña, meticulosamente detallada por los investigadores de Cisco Talos, ha sido atribuida a UAT-9244, un grupo de amenazas estrechamente asociado con grupos notorios como FamousSparrow y Tropic Trooper. Aunque comparte perfil de objetivo con otro actor, Salt Typhoon, las tácticas y herramientas de UAT-9244 son distintas, señalando un nuevo capítulo en la guerra cibernética coordinada y patrocinada por Estados.

Lo que distingue a esta campaña es su sofisticación técnica y alcance. El conjunto de herramientas de UAT-9244 abarca Windows, Linux e incluso dispositivos embebidos en el borde de la red, asegurando que ningún rincón del panorama digital de una telecom quede a salvo. Las operaciones del grupo giran en torno a tres familias de malware completamente nuevas:

• TernDoor: Una puerta trasera para Windows, TernDoor se despliega sigilosamente mediante carga lateral de DLL - secuestrando un ejecutable legítimo para cargar cargas maliciosas directamente en la memoria del sistema. Su controlador de Windows embebido le permite manipular procesos, mantener persistencia a través de modificaciones en el registro y tareas programadas, e incluso borrarse a sí mismo para evitar la detección.
• PeerTime: Dirigido a sistemas basados en Linux, PeerTime destaca por su uso del protocolo BitTorrent para comunicarse con sus operadores, mezclando hábilmente el tráfico malicioso con actividad legítima de peer-to-peer. Escrito tanto en C/C++ como en Rust, y diseñado para múltiples arquitecturas de hardware, PeerTime puede comprometer desde servidores hasta hardware especializado de telecomunicaciones.
• BruteEntry: Esta herramienta basada en Go transforma los dispositivos infectados en Cajas de Relé Operacional (ORBs), que escanean en busca de nuevos objetivos de red y fuerzan el acceso a servicios como SSH, Postgres y Tomcat. Los resultados se envían de vuelta a los atacantes, ampliando su presencia y permitiendo nuevas incursiones.

Estas herramientas se despliegan con precisión quirúrgica, aprovechando tareas programadas ocultas, modificaciones en el registro y cambio de nombre de procesos para evadir incluso a los defensores más atentos. El alcance multiplataforma del malware y el uso de tecnología peer-to-peer señalan una evolución peligrosa en la forma en que los actores estatales infiltran y controlan infraestructuras críticas.

Si bien Cisco Talos ha publicado detalles técnicos e indicadores de compromiso, la amenaza más amplia persiste: los operadores de telecomunicaciones, a menudo columna vertebral de las economías digitales, están ahora en la primera línea de un conflicto cibernético que no muestra señales de disminuir.

Mientras se asienta el polvo de este último embate cibernético, una cosa queda clara: la era de los ataques de una sola plataforma ha terminado. Con la campaña de UAT-9244, nunca han sido tan altas las apuestas para defender infraestructuras críticas. La pregunta sigue siendo: ¿estamos preparados para el próximo asedio digital, aún más sofisticado?

WIKICROOK

• Amenaza Persistente Avanzada (APT): Una Amenaza Persistente Avanzada (APT) es un ciberataque prolongado y dirigido por grupos expertos, a menudo respaldados por Estados, que buscan robar datos o interrumpir operaciones.
• Carga Lateral de DLL: La carga lateral de DLL es una técnica en la que los atacantes engañan a los programas para que carguen archivos DLL maliciosos, eludiendo la seguridad y obteniendo acceso o control no autorizado.
• Puerta Trasera: Una puerta trasera es una forma oculta de acceder a una computadora o servidor, eludiendo los controles de seguridad normales, utilizada a menudo por atacantes para obtener control secreto.
• Comando: Un comando es una instrucción enviada a un dispositivo o software, a menudo por un servidor C2, que le indica realizar acciones específicas, a veces con fines maliciosos.
• Indicadores de Compromiso (IoCs): Los Indicadores de Compromiso (IoCs) son pistas como nombres de archivos, IPs o fragmentos de código que ayudan a detectar si un sistema informático ha sido vulnerado.