El incidente habría tenido como blanco a periodistas que cubren temas de seguridad nacional, política económica y asuntos relacionados con China. Expertos indican que los patrones del ciberataque son similares a los de una APT.
Un ciberataque dirigido comprometió las cuentas de correo electrónico de varios periodistas del prestigioso Washington Post, en lo que se presume fue una acción llevada a cabo por un gobierno extranjero. La intrusión fue detectada el pasado jueves 2 de junio por la noche, según informaron fuentes internas del medio al diario Wall Street Journal.
El domingo 15 de junio, los trabajadores del diario recibieron un memorando interno informándoles sobre una “posible intrusión no autorizada y dirigida” en el sistema de correo electrónico del medio. El documento fue firmado por el editor ejecutivo del Washington Post, Matt Murray, quien confirmó que las cuentas de Microsoft de un número limitado de periodistas se habían visto afectadas.
De acuerdo con fuentes citadas por el Wall Street Journal, los atacantes habrían tenido como objetivo a reporteros que cubren temas de seguridad nacional, política económica y relaciones internacionales, específicamente con China. Este patrón es consistente con tácticas utilizadas por grupos de amenazas persistentes avanzadas (APT), es decir, actores patrocinados por estados, señalaron algunos especialistas consultados por los medios norteamericanos.
No sería la primera vez que se emplean vulnerabilidades en servicios como Microsoft Exchange para perpetrar este tipo de ataques. En 2021, varias agencias gubernamentales de los estados unidos y empresas a nivel mundial fueron afectadas cuando actores de amenaza patrocinados por China aprovecharon fallas en Exchange para acceder a información altamente confidencial.
El Washington Post, propiedad del fundador de Amazon, Jeff Bezos, es uno de los periódicos más influyentes de Estados Unidos, lo que refuerza la hipótesis de que el ataque pudo haber tenido motivaciones geopolíticas. El uso de plataformas ampliamente adoptadas, como Microsoft, ha sido un punto débil recurrente en ciberataques anteriores.
En años recientes, diversos grupos de amenazas chinos, como el APT27, Bronze Butler y Calypso, han sido identificados explotando vulnerabilidades de día cero en Exchange. Estas campañas han estado marcadas por una alta organización y por su enfoque en objetivos gubernamentales y estratégicos.
Microsoft, por su parte, ha alertado en ocasiones anteriores sobre fallas críticas en sus servicios. En 2023, la empresa advirtió que cibercriminales estaban explotando una vulnerabilidad de escalamiento de privilegios en Exchange mediante ataques NTLM relay, lo que permitió accesos no autorizados a diversos entornos. Aunque aún no se ha confirmado públicamente el origen del ataque contra el Washington Post, el patrón observado encaja con campañas estatales ya conocidas.