Un presunto grupo de hackers vinculado al estado chino ha sido descubierto
llevando a cabo una de las operaciones de ciberespionaje de mayor alcance
jamás descubiertas:
hackeando silenciosamente a proveedores de telecomunicaciones y organismos
gubernamentales en cuatro continentes durante casi una década.
Google ha intervenido para desmantelar por completo esa operación, cortando el
acceso persistente del grupo y publicando inteligencia sobre amenazas para
ayudar a las organizaciones afectadas a identificar y responder.
Google Threat Intelligence Group (GTIG) y Mandiant actuaron coordinadamente
para desmantelar una campaña global de espionaje vinculada a un actor de
amenazas identificado como UNC2814, cuya vinculación con la República Popular
China (RPC).
GTIG ha monitoreado a este grupo desde 2017. Para el 18 de febrero de 2026, la
investigación confirmó 53 víctimas en 42 países, con presuntas infecciones en
al menos 20 naciones más de África, Asia y América.
Este alcance refleja casi una década de esfuerzos deliberados y concentrados
dirigidos contra algunas de las infraestructuras de comunicación más sensibles
del mundo. La campaña se centró en una puerta trasera no documentada
previamente llamada GRIDTIDE, una puerta trasera basada en C capaz de ejecutar comandos de
shell, subir archivos a hosts comprometidos y extraer datos.
Los analistas de Google Cloud identificaron GRIDTIDE después de que una investigación de Mandiant Threat Defense detectara
un comportamiento sospechoso en el servidor Linux CentOS de un cliente. En
lugar de utilizar servidores de comando dedicados, GRIDTIDE enruta las
comunicaciones a través de Hojas de cálculo de Google, tratando las celdas de
la hoja de cálculo como un canal de mensajería en vivo entre el atacante y las
máquinas comprometidas.
Esto camuflaba el tráfico malicioso como actividad rutinaria en la nube, lo
que dificultaba enormemente su detección por parte de las defensas de red
estándar.
UNC2814 no tiene ninguna superposición conocida con el grupo Salt Typhoon, del
que se ha informado públicamente; ataca a víctimas completamente diferentes
utilizando métodos, herramientas y procedimientos distintos.
Una alerta de detección reveló un binario llamado /var/tmp/xapt,
diseñado para parecerse a una herramienta de sistema común, que había iniciado
una shell con privilegios de root y ejecutaba comandos para
confirmar el control total de la máquina.
Ese descubrimiento proporcionó a los investigadores la pista clave necesaria
para desentrañar el funcionamiento completo de UNC2814. El nombre binario
xapt fue elegido deliberadamente para imitar la utilidad de gestión de
paquetes heredada que se encuentra en los sistemas Linux basados en Debian.
.webp)
Aunque no se ha confirmado el vector de acceso inicial exacto, UNC2814 tiene
un historial de intrusiones mediante la vulneración de servidores web con
conexión a internet y dispositivos de red perimetral.
Una vez dentro, el grupo utilizó herramientas legítimas integradas en el
sistema para moverse lateralmente (técnicas «living off the land»),
evitando software nuevo que pudiera activar alertas de seguridad.
Los sistemas atacados incluían máquinas que contenían información personal
identificable, como nombres, números de teléfono, números de identificación
nacional y registros de votantes, todo ello en consonancia con las prioridades
de recopilación de inteligencia de la República Popular China.
Persistencia y comando y control de GRIDTIDE
Tras asegurar el acceso, UNC2814 integró GRIDTIDE registrando un servicio
systemd en /etc/systemd/system/xapt.service. El malware se ejecutaba
mediante el comando nohup, lo que garantizaba su continuidad incluso
después de finalizar la sesión del atacante.
Como canal de comunicación secundario, el grupo implementó el Puente VPN
SoftEther, abriendo un túnel saliente cifrado a una infraestructura externa
que, según los metadatos, ha estado activa desde julio de 2018.
Utiliza una clave de cifrado AES-128 de 16 bytes para desbloquear su
configuración de Google Drive, que contiene las credenciales de la cuenta de
servicio y el ID de la hoja de cálculo necesarios para el acceso C2.
Una vez conectado, borra las primeras 1000 filas de la hoja de cálculo, toma
la huella digital del equipo víctima (recopilando el nombre de host, la
versión del sistema operativo, la IP local y la zona horaria) y almacena esos
datos en la celda V1.
Los comandos llegan a través de la celda A1 y los resultados se devuelven a
través de un rango de celdas definido. Todo el tráfico se codifica en Base64
URL-safe para eludir los filtros web y las herramientas de inspección de red.
.webp)
Las organizaciones deben supervisar las conexiones HTTPS salientes a los
puntos finales de la API de Hojas de Cálculo de Google, especialmente las
solicitudes que involucran
batchClear, batchUpdate y valueRenderOption=FORMULA, desde procesos que
no sean del navegador.
Los equipos de seguridad también deben verificar si hay servicios
systemd en directorios inesperados, archivos binarios que se ejecutan
desde /var/tmp/ y componentes de SoftEther VPN en servidores Linux.
Aplicar la regla YARA publicada por GTIG para GRIDTIDE y contrastar la lista
de IOC publicada con los registros internos ayudará a confirmar si persiste
alguna exposición residual de esta campaña.
Fuente: Google