Un informe técnico de Cisco Talos detalla que desde 2024 un grupo de espionaje cibernético identificado como UAT-9244 y ligado a China ha dirigido campañas persistentes contra proveedores de servicios de telecomunicaciones con herramientas maliciosas para establecer acceso prolongado a infraestructura crítica.
Investigadores de Cisco Talos documentaron una campaña de ciberespionaje atribuida a un actor vinculado al Estado chino, identificado como UAT-9244, que ha estado atacando a proveedores de servicios de telecomunicaciones en Sudamérica desde al menos 2024. Según el análisis técnico publicado el pasado 5 de marzo, esta actividad consiste en la implantación y uso de un conjunto de malware novedoso diseñado para comprometer y mantener presencia en sistemas de telecomunicaciones basados tanto en Windows como en Linux y en dispositivos de borde de red.
El informe señala que UAT-9244 comparte características operativas y tácticas con los grupos de amenazas FamousSparrow y Tropic Trooper, aunque los investigadores no establecieron una conexión definitiva entre ellos y este clúster de actividad. Talos clasificó con alta confianza que el actor responsable busca mantener acceso persistente en redes de telecomunicaciones, lo que indica un objetivo de espionaje de largo plazo.
La campaña se apoya en tres familias de malware que hasta ahora no habían sido documentadas públicamente, estas son: TernDoor, PeerTime y BruteEntry.
TernDoor es un backdoor para sistemas Windows que se instala mediante una técnica de DLL side-loading, en la que un ejecutable legítimo carga una biblioteca maliciosa para ejecutar código en memoria. Este backdoor incluye un controlador de Windows que permite iniciar y detener procesos, establecer persistencia y ejecutar comandos remotos.
PeerTime, por su parte, es un backdoor para sistemas Linux de tipo ELF que puede operar en diversas arquitecturas -incluyendo ARM, AARCH, PPC y MIPS-, lo que sugiere un diseño orientado a comprometer dispositivos embebidos y de infraestructura de red. Utiliza el protocolo BitTorrent para comunicaciones de comando y control (C2), descargando y ejecutando cargas útiles desde otros nodos de la red de bots.
La tercera herramienta, BruteEntry, combina un componente escrito en Go con otro diseñado para realizar ataques de fuerza bruta de credenciales, transformando dispositivos comprometidos en nodos que escanean Internet en busca de nuevas víctimas. Estos nodos, conocidos como Operational Relay Boxes (ORBs), intentan acceder a servicios expuestos como SSH, PostgreSQL y Tomcat, y reportan los resultados a los servidores de C2.
La actividad de UAT-9244 ha sido observable en infraestructura crítica de telecomunicaciones, lo que implica que los atacantes han logrado infiltrarse tanto en servidores como en dispositivos de borde que gestionan tráfico y servicios de red. La persistencia de estos componentes maliciosos podría permitir a los operadores de UAT-9244 mantener acceso prolongado y recopilar información sobre la red objetivo.
El análisis de Talos también indica que, si bien los vectores específicos de infección y los métodos iniciales de acceso no se han revelado públicamente, la sofisticación del conjunto de herramientas sugiere un desarrollo continuo de capacidades de intrusión. Las técnicas observadas, como el DLL side-loading y el uso de protocolos peer-to-peer para control, reflejan un enfoque adaptable para evadir detección en entornos complejos de operadores de redes.
La campaña de espionaje no ha sido ligada de forma concluyente a otras operaciones conocidas del Estado chino, como las atribuidas al grupo Salt Typhoon, aunque los especialistas de Talos señalan que el objetivo general de comprometer infraestructura de telecomunicaciones es consistente con patrones anteriores de actividad de amenazas con vínculos estatales.