La APT patrocinada por el estado chino habría comprometido redes de telecomunicaciones de Viasat a principios de este año, así como otra telecom de Canadá que no fue identificada, aprovechando vulnerabilidades conocidas.
El grupo de ciberespionaje patrocinado por el gobierno chino conocido como Salt Typhoon, continúa su campaña sostenida contra compañías de telecomunicaciones a nivel global. En los últimos días se reveló que Viasat, un proveedor estadounidense de servicios de banda ancha satelital, y al menos una importante empresa canadiense, fueron blanco de sus ataques a principios de este año, esto de acuerdo con informes confirmados por agencias de seguridad de ambos países.
Salt Typhoon, activo desde al menos 2019, ha enfocado sus ataques en organismos gubernamentales, proveedores de servicios críticos y empresas del sector telecomunicaciones, aprovechando principalmente dispositivos perimetrales vulnerables, como routers, firewalls y equipos con software desactualizado.
En el caso más reciente, tres dispositivos pertenecientes a un operador de telecomunicaciones en Canadá fueron comprometidos a mediados de febrero de 2025 explotando una falla crítica conocida como CVE-2023-20198 en dispositivos Cisco IOS XE, lo que les permitió acceder remotamente a sistemas sin necesidad de autenticación.
Según el Centro Canadiense de Seguridad Cibernética y el FBI, los atacantes no solo tuvieron acceso a archivos de configuración confidenciales, sino que también modificaron uno de los dispositivos para crear un túnel GRE, una técnica que les permitió capturar tráfico de red en tiempo real.
Estas acciones se produjeron a pesar de que la vulnerabilidad había sido identificada públicamente desde octubre de 2023, cuando se reportó que al menos 10 mil dispositivos ya habían sido explotados. Aun así, varios operadores no habrían aplicado los parches correspondientes, lo que facilitó el acceso a los sistemas.
“Los proveedores de telecomunicaciones que manejan información sensible como metadatos de llamadas, contenidos de SMS o datos de ubicación, continúan siendo el principal objetivo de estos actores estatales”, advirtió el Centro Cibernético, que también subrayó que los ataques casi con seguridad persistirán durante los próximos dos años.
Por su parte, la empresa estadounidense Viasat confirmó la semana pasada que también fue víctima de una intrusión por parte del mismo grupo. Aunque no se reportaron filtraciones de datos de clientes, la empresa reconoció que el acceso no autorizado fue detectado a inicios de este año y que desde entonces ha colaborado con autoridades federales de los estados Unidos y expertos en ciberseguridad para mitigar el impacto de los actores de amenaza.
“Tras una investigación exhaustiva, no encontramos evidencia de afectación directa a los usuarios”, afirmó Viasat a un medio especializado de ciberseguridad. La empresa, que presta servicios a gobiernos, fuerzas armadas y sectores estratégicos como energía y transporte, indicó que el incidente ya fue contenido y que no se han detectado nuevas actividades relacionadas.
Esta no es la primera vez que Viasat sufre un ataque cibernético significativo. En febrero de 2022, actores de amenaza vinculados a Rusia comprometieron su red KA-SAT, lo que provocó la interrupción del servicio a decenas de miles de usuarios en Europa, incluidas más de 5.800 turbinas eólicas en Alemania.
Salt Typhoon ha sido vinculado a múltiples ataques en países de todo el mundo, incluyendo a gigantes como AT&T, Verizon, Lumen, Charter Communications y Windstream. Además de apuntar directamente a operadores, también han intentado infiltrarse en clientes de servicios en la nube y proveedores de servicios gestionados (MSP).
Varios organismos de Estados Unidos, Canadá y otros países, han publicado guías específicas para mitigar los riesgos asociados con este tipo de amenazas persistentes avanzadas.