Un reciente informe de ReliaQuest ha revelado una campaña de ciberespionaje de alto nivel atribuida a Flax Typhoon, un grupo de piratería patrocinado por el Estado chino también conocido como Ethereal Panda o RedJuliett. Este colectivo, vinculado a la empresa Integrity Technology Group, con sede en Pekín, llevó a cabo una operación encubierta que comprometió un sistema ArcGIS —una plataforma de mapeo geoespacial ampliamente utilizada— y lo transformó en una puerta trasera persistente durante más de un año.
Una campaña de infiltración silenciosa y prolongada
Según el informe, los atacantes lograron modificar la extensión de objeto de servidor Java (SOE) del sistema ArcGIS, convirtiéndola en un web shell funcional. Este cambio permitió a los hackers mantener acceso continuo al servidor comprometido sin ser detectados, incluso tras eventuales restauraciones completas del sistema.
ReliaQuest explicó que los atacantes implementaron una clave codificada para controlar el acceso exclusivo a su puerta trasera y la incrustaron dentro de las copias de seguridad del sistema, garantizando una persistencia a largo plazo. Este nivel de sofisticación demuestra una comprensión profunda de los entornos empresariales y de las medidas de recuperación de datos empleadas por las organizaciones.
Técnicas avanzadas de sigilo y evasión
Flax Typhoon es conocido por su capacidad de operar con niveles extremos de sigilo, haciendo uso de técnicas Living off the Land (LotL). Estas tácticas aprovechan herramientas y procesos legítimos del sistema para ejecutar acciones maliciosas, minimizando la huella digital y evitando ser detectados por soluciones de seguridad convencionales.
En esta campaña, el grupo utilizó una cadena de ataque particularmente ingeniosa que comenzó con la comprometida de una cuenta de administrador en un portal ArcGIS público. A partir de ahí, desplegaron su SOE maliciosa e invocaron una operación REST estándar de la aplicación (JavaSimpleRESTSOE) para ejecutar comandos de manera remota. Esta maniobra, al mezclarse con el tráfico legítimo del servidor, complicó enormemente su detección por parte de los equipos de seguridad.
Creación de un canal VPN encubierto
Una de las etapas más críticas del ataque fue la instalación de un ejecutable VPN de SoftEther —renombrado como bridge.exe— en el directorio “System32” del servidor. Los atacantes crearon un servicio denominado SysBridge que garantizaba su ejecución automática tras cada reinicio del sistema.
El archivo bridge.exe establecía conexiones HTTPS salientes al puerto 443 de una dirección IP controlada por los atacantes, creando así un canal VPN oculto. Este túnel cifrado permitía a los actores maliciosos extender la red local de la víctima hasta su propia infraestructura remota, haciéndolos pasar por usuarios internos. De este modo, pudieron evadir el monitoreo de red y mantener comunicación segura con los sistemas comprometidos para ejecutar movimientos laterales o extraer información sensible.
Compromiso de estaciones de trabajo y escalada de privilegios
ReliaQuest también descubrió que los atacantes dirigieron sus esfuerzos hacia dos estaciones de trabajo del personal de TI. Desde ellas, obtuvieron credenciales administrativas que les otorgaron un control aún mayor sobre la infraestructura comprometida. Con ese acceso, pudieron restablecer contraseñas, manipular servicios críticos y garantizar que su persistencia se mantuviera incluso si se detectaban intentos de limpieza del sistema.
Este nivel de infiltración sugiere una campaña de espionaje meticulosamente planificada, más orientada a la vigilancia y exfiltración de datos que a la interrupción o sabotaje.

Una lección sobre la confianza en el software legítimo
El caso Flax Typhoon expone un problema creciente en la ciberseguridad moderna: la manipulación de componentes confiables para fines maliciosos. Las herramientas legítimas, diseñadas para mejorar la productividad y la conectividad, se están convirtiendo en armas de doble filo cuando los atacantes las utilizan como vehículos para ocultar su actividad.
Como subrayan los investigadores Alexa Feminella y James Xiang, el verdadero desafío ya no es solo detectar malware o comportamientos anómalos, sino comprender cómo las herramientas de confianza pueden ser manipuladas y convertirse en mecanismos de intrusión perfectamente camuflados.
Implicaciones y medidas preventivas
Este incidente pone de relieve la necesidad de reforzar los controles de seguridad en aplicaciones empresariales como ArcGIS, que a menudo se dan por seguras debido a su reputación y uso extendido. Las organizaciones deben adoptar estrategias de defensa en profundidad que incluyan:
-
Auditorías regulares de permisos y cuentas administrativas.
-
Monitoreo de tráfico cifrado y conexiones salientes sospechosas.
-
Validación de integridad en extensiones o módulos de aplicaciones críticas.
-
Detección avanzada de comportamiento basado en IA para identificar patrones anómalos.
El ataque de Flax Typhoon demuestra que incluso las infraestructuras más robustas pueden volverse vulnerables cuando los atacantes explotan la confianza inherente de los sistemas legítimos.
En fin…
Flax Typhoon ha mostrado una vez más la sofisticación y creatividad de los grupos de amenazas patrocinados por el Estado chino. Su capacidad para convertir una herramienta de mapeo geográfico en una puerta trasera operativa durante un año sin ser detectados evidencia una evolución preocupante del ciberespionaje. Las organizaciones deben responder reforzando su vigilancia proactiva, segmentación de red y monitoreo continuo, ya que la frontera entre lo legítimo y lo malicioso se vuelve cada vez más difusa.
Fuente: The Hacker News
