Los ataques de ciberespionaje patrocinados por estados continúan aumentando en sofisticación y alcance. En esta ocasión, investigadores de Google Threat Intelligence Group (GTIG) han revelado una campaña atribuida al grupo Silk Typhoon, también conocido como Mustang Panda, TEMP.Hex o UNC6384, un actor de amenazas con fuertes vínculos con intereses chinos.
La operación, dirigida contra diplomáticos y personal estratégico, utilizó una técnica de adversario en el medio (AitM) para secuestrar tráfico web legítimo y redirigir a las víctimas hacia un portal malicioso que distribuía malware.
Una técnica avanzada: adversario en el medio (AitM)
El ataque descubierto por Google se apoya en una táctica altamente sofisticada: adversary-in-the-middle. Según los investigadores, los atacantes lograron insertarse en la cadena de tráfico mediante la manipulación de un portal cautivo de red, es decir, la página donde los usuarios deben autenticarse antes de obtener acceso a Internet.
De esta manera, cuando el navegador Google Chrome detectaba la necesidad de autenticación, en lugar de redirigir al sitio original, las víctimas eran conducidas a una página maliciosa cuidadosamente diseñada para imitar un portal de actualización de Adobe Plugins.
.jpg)
Descripción general de la cadena
de ataque Fuente: Google
El señuelo: falsas actualizaciones de Adobe
El ataque desplegaba un archivo ejecutable llamado “AdobePlugins.exe”, firmado digitalmente para aparentar legitimidad. A través de instrucciones detalladas, los atacantes inducían a las víctimas a eludir las advertencias de seguridad de Windows y proceder con la instalación.
El archivo, al ejecutarse, mostraba un instalador legítimo de Microsoft Visual C++, con el fin de reforzar la ilusión de autenticidad. Sin embargo, en segundo plano descargaba un paquete MSI camuflado como una imagen (.bmp), que incluía:
-
Una herramienta de impresora Canon legítima.
-
Una DLL maliciosa llamada CANONSTAGER.
-
La puerta trasera SOGU.SEC, encriptada con el algoritmo RC-4.
CANONSTAGER y la puerta trasera SOGU.SEC
El componente CANONSTAGER jugaba un papel clave en la operación, ya que utilizaba técnicas de carga lateral de DLL para descifrar y ejecutar en memoria la carga maliciosa final.
La SOGU.SEC backdoor, identificada por Google como una variante del conocido malware PlugX, otorgaba a los atacantes amplias capacidades de control, incluyendo:
-
Recolectar información del sistema de la víctima.
-
Subir o descargar archivos desde y hacia el dispositivo comprometido.
-
Proporcionar acceso remoto mediante un shell de comandos, permitiendo espionaje y movimientos laterales en la red.
Este nivel de control hace que la operación represente una amenaza crítica para cualquier organismo gubernamental o diplomático afectado.
Certificado utilizado en la última campaña
de Mustang Panda Fuente: Google
Vinculación con China y firma digital comprometida
Uno de los hallazgos más llamativos del informe de GTIG es la implicación de la entidad Chengdu Nuoxin Times Technology Co., Ltd, cuyos certificados digitales se utilizaron para firmar al menos 25 muestras de malware desde 2023.
No está claro si la empresa está directamente implicada en las operaciones o si sus certificados fueron robados y utilizados de manera fraudulenta. Sin embargo, hasta que se aclare la situación, tratar todos los certificados emitidos por esta entidad como no confiables es una medida de seguridad razonable.
Medidas de defensa aplicadas por Google
Frente a esta campaña, Google tomó varias acciones inmediatas:
-
Bloqueo de dominios y hashes maliciosos a través de Google Safe Browsing.
-
Alertas a usuarios de Gmail y Workspace potencialmente afectados, etiquetando el ataque como patrocinado por un gobierno.
-
Distribución de reglas YARA para detectar las variantes de STATICPLUGIN y CANONSTAGER.
-
Publicación de indicadores de compromiso (IoC) relacionados con todos los archivos analizados en esta campaña.
Estas medidas permiten a equipos de ciberseguridad y proveedores de seguridad anticiparse a ataques similares y mejorar la detección en infraestructuras críticas.
Un ataque que refleja la evolución del ciberespionaje chino
El caso de Silk Typhoon confirma una tendencia creciente: los grupos de ciberespionaje vinculados a China están perfeccionando sus técnicas, pasando de simples campañas de phishing a ataques mucho más avanzados que explotan:
-
Secuestro de tráfico en portales cautivos.
-
Carga lateral de DLL con software legítimo.
-
Uso de certificados digitales comprometidos.
-
Puertas traseras como PlugX, que han sido adaptadas y reforzadas en múltiples variantes.
Según Google, es altamente probable que estos actores cambien rápidamente a nuevas infraestructuras y binarios cuando sus operaciones sean descubiertas, lo que dificulta la labor defensiva.
En conclusión, el ataque descubierto por Google Threat Intelligence Group contra diplomáticos utilizando técnicas de adversario en el medio (AitM) muestra hasta qué punto los actores estatales están elevando el nivel del ciberespionaje global.
La campaña de Silk Typhoon / Mustang Panda combina ingeniería social, explotación de portales cautivos, firmas digitales comprometidas y el uso de malware sofisticado como SOGU.SEC (PlugX) para obtener control total sobre los sistemas comprometidos.
Si bien Google y otros actores de la industria han reaccionado con rapidez bloqueando dominios maliciosos y compartiendo indicadores de compromiso, la realidad es que los ataques patrocinados por estados seguirán evolucionando.
Para las organizaciones, especialmente aquellas en el sector gubernamental y diplomático, resulta crítico implementar estrategias de ciberseguridad proactivas, reforzar la detección de anomalías en portales de autenticación y monitorear continuamente la validez de los certificados digitales utilizados por proveedores externos.
Este episodio refuerza una conclusión clave: la seguridad en el ciberespacio ya no depende únicamente de proteger redes internas, sino de anticiparse a actores estatales capaces de ejecutar operaciones de gran escala y precisión táctica.
Fuente: Bleeping Computer
