Un grupo de hackers chinos está atacando enrutadores fabricados por un importante fabricante estadounidense, aprovechando software y hardware obsoletos para secuestrar enrutadores y acceder a redes informáticas, advirtió el miércoles una empresa de ciberseguridad.
Es una nueva táctica en un panorama de delitos cibernéticos cada vez más sofisticado, según la empresa.
Mandiant, una subsidiaria de Google conocida por delatar a hackers chinos, informó en una publicación de blog el 12 de marzo que el grupo de hackers UNC3886 respaldado por el estado atacó enrutadores fabricados por Juniper Networks.
La empresa tecnológica con sede en Silicon Valley es un importante competidor de Cisco, líder del mercado estadounidense de routers. Si bien muchos productos Juniper se fabrican en China y otras partes del Sudeste Asiático, la mayoría de sus productos de gama alta se ensamblan en Norteamérica.
A mediados de 2024, Mandiant descubrió que los atacantes habían implementado un programa que accedía a las computadoras de las víctimas deshabilitando los mecanismos de inicio de sesión.
Una vez en el sistema, el programa podría llevar a cabo funciones de puerta trasera activas, que interferían directamente con el sistema, o funciones de puerta trasera pasivas: "escuchar a escondidas" o recopilar información.
Mandiant señaló que las puertas traseras se basaban en un programa de código abierto y de bajo mantenimiento llamado TINYSHELL.
Según Mandiant, la vulnerabilidad que permitió las intrusiones fue el uso de enrutadores que ejecutaban hardware y software obsoletos o "al final de su vida útil".
Una nueva táctica
Mandiant señaló que en 2022 y 2023 informó que el grupo de hackers UNC3886 había violado software de servidor como VMware ESXi, servidores Linux vCenter y máquinas virtuales de Windows.La publicación del blog del miércoles describió "un desarrollo en las tácticas, técnicas y procedimientos de UNC3886" y un enfoque en los dispositivos que pueden carecer de soluciones de detección y monitoreo de seguridad.
Comprometer dispositivos de enrutamiento es una nueva táctica de espionaje, señala el informe, "ya que otorga la capacidad de un acceso de alto nivel y a largo plazo a la infraestructura de enrutamiento crucial, con el potencial de acciones más disruptivas en el futuro".
Mandiant describió a UNC3886 como "muy hábil". El modus operandi del grupo de hackers consiste en obtener "credenciales legítimas" y usarlas para operar sin ser detectado.
Históricamente, el grupo ha atacado dispositivos de red y tecnologías de virtualización con "exploits de día cero", ataques cibernéticos que aprovechan vulnerabilidades previamente desconocidas en software, hardware o firmware antes de que los proveedores tengan la oportunidad de solucionarlos.
"UNC3886 continúa demostrando un profundo conocimiento de la tecnología subyacente de los dispositivos a los que se dirige", afirma la publicación del blog.
Mandiant también observó la preferencia del grupo por las operaciones prolongadas, como lo demuestra el uso de tácticas sigilosas y la manipulación de registros y evidencia forense.
El informe destacó el enfoque del grupo en empresas militares, tecnológicas y de comunicaciones en Estados Unidos y Asia.
Aumento de las intrusiones impulsadas por la IA
La publicación de Mandiant ocurrió después del "Informe de amenazas globales de CrowdStrike 2025", publicado el 27 de febrero, que destacó un aumento del 150 por ciento en las intrusiones en la red estadounidense impulsadas por IA a lo largo de 2024.El informe de CrowdStrike se centró en la creciente integración de la inteligencia artificial en las intrusiones en la red.
Se descubrió que, con la ayuda de la tecnología, los ataques de phishing de voz o "vishing", en los que se utilizó IA durante las llamadas telefónicas, aumentaron un 442 por ciento en 2024.
Los sectores industriales, de medios de comunicación y de servicios financieros de Estados Unidos sufrieron un aumento del 300 por ciento en las intrusiones impulsadas por inteligencia artificial, según el informe.
El ciberdelito se ha convertido en un gran negocio, con "brokers de acceso" que publicitan sus servicios, una práctica que, según se observa, aumentó un 50 por ciento en 2024.
Una captura de pantalla muestra a ciberdelincuentes manipulando el sistema de base de datos back-end de una red bancaria. (Cortesía de Ed Alexande)
Caza de hackers chinos
Ese informe fue seguido por la noticia de la semana pasada de una búsqueda por parte del FBI de 12 trabajadores tecnológicos autónomos chinos acusados de violar cuentas de correo electrónico, teléfonos móviles, servidores y sitios web en nombre de Beijing entre 2016 y 2023.El 5 de marzo, el Departamento de Justicia (DOJ) informó que interrumpió las actividades de 12 ciudadanos chinos, incluidos dos miembros del Ministerio de Seguridad Pública de China, empleados como trabajadores independientes para la empresa estatal china i-Soon.
Los sospechosos, que según se informa estaban prófugos, presuntamente recibieron entre 10,000 y 75,000 dólares por cada buzón que hackearon, mientras que la empresa cobró más por analizar los datos robados.
Entre las víctimas globales de la operación se encontraban "una gran organización religiosa de Estados Unidos, críticos y disidentes de la [República Popular China], un cuerpo legislativo estatal, agencias del gobierno de Estados Unidos, los ministerios de asuntos exteriores de varios gobiernos de Asia y organizaciones de noticias".
The Epoch Times se enteró de que fue víctima de una campaña de hackeo.
Desde ese momento, el Departamento de Estado ofreció una recompensa de hasta 10 millones de dólares por información sobre cualquier entidad que actúe maliciosamente contra Estados Unidos a instancias de un gobierno extranjero.
Eva Fu y Dorothy Li contribuyeron a este artículo.
Únase a nuestro canal de Telegram para recibir las últimas noticias al instante haciendo clic aquí
