Una investigación internacional logró desmantelar una sofisticada operación de ciberespionaje atribuida a un grupo con vínculos chinos que durante casi una década ocultó comandos de comando y control dentro de herramientas legítimas como Google Sheets. Se habrían comprometido al menos 53 organizaciones en 42 países, incluidas empresas de telecomunicaciones y agencias gubernamentales. Chile, Perú y Colombia figuran en América Latina.
A fines de febrero, expertos de Google Threat Intelligence Group (GTIG), Mandiant y otros socios, anunciaron el desmantelamiento de una de las campañas de espionaje más extensas vistas en años recientes, llevada a cabo por un grupo de actores maliciosos con presuntas conexiones a China e identificado como UNC2814. Esta operación, que se mantuvo en las sombras durante varios años, se enfocó en infiltrarse en redes de telecomunicaciones y agencias gubernamentales mediante técnicas de ataque extremadamente sigilosas.
Según el reporte divulgado, el grupo utilizó una táctica inusual para ocultar su actividad maliciosa, la cual consistió en que, en lugar de recurrir a servidores de mando típicos que las defensas cibernéticas modernas suelen detectar, los atacantes abusaron de las funciones legítimas de Google Sheets para enviar y recibir comandos de forma encubierta. Esta técnica permitió que el tráfico malicioso se confundiera con actividad normal dentro de la plataforma cloud, dificultando su detección.
La operación fue identificada por el Threat Intelligence Group de Google (GTIG), en colaboración con la firma de seguridad Mandiant y otros socios del sector, que lograron intervenir la infraestructura utilizada por los hackers para mantener su presencia en las redes objetivo y coordinar sus acciones. El uso de las APIs de Google Sheets, combinadas con un backdoor denominado “GRIDTIDE”, facilitó que los atacantes mantuvieran un canal de comando y control (C2) utilizando una herramienta comúnmente vista como inocua.
De acuerdo con el reporte, serían 53 organizaciones en 42 países los confirmados como objetivos comprometidos por este grupo, con evidencias que sugieren actividad sospechosa en otros 20 países adicionales. Los objetivos incluyeron principalmente proveedores de telecomunicaciones y entidades.
En un mapa que sirve de apoyo al reporte, se marcan en rojo los territorios afectados, entre los cuales figuran varios países de América Latina, como Guatemala, Costa Rica, Panamá, Brasil, Bolivia, Colombia, Perú y Chile. Pese a lo anterior, el reporte no identifica las entidades que fueron objetivos de esta campaña.
Según lo informado, en uno de los sistemas comprometidos, los atacantes lograron instalar el backdoor en dispositivos que albergaban información personal altamente sensible, como nombres completos, números de teléfono, fechas de nacimiento, números de identificación y otros datos asociados a la comunicación de los usuarios. Este tipo de información puede permitir un nivel de vigilancia y rastreo de comunicaciones que va más allá del simple robo de datos automatizado y apunta a una intención de espionaje mucho más profunda.
De acuerdo con el reporte -el cual también comparte indicadores de compromiso-, entre las medidas tomadas para detener esta campaña fueron incluidas la desactivación de proyectos en Google Cloud controlados por el grupo de atacantes, la revocación de accesos maliciosos y la desactivación de la infraestructura asociada, con el objetivo de cortar la capacidad de estos actores para mantener acceso a las redes comprometidas.