{"id":2617,"date":"2023-05-29T16:38:16","date_gmt":"2023-05-29T19:38:16","guid":{"rendered":"https:\/\/itconnect.lat\/portal\/?p=2617"},"modified":"2025-08-13T16:55:17","modified_gmt":"2025-08-13T19:55:17","slug":"espionaje-chino-001","status":"publish","type":"post","link":"https:\/\/itconnect.lat\/portal\/espionaje-chino-001\/","title":{"rendered":"Espionaje chino 2023: ataques a infraestructura de EE.UU."},"content":{"rendered":"

Espionaje chino: Ciberataques a la infraestructura cr\u00edtica de EE.UU. se intensifican. El grupo Volt Typhoon y los APT respaldados por el Estado chino han vuelto a la carga, apuntando a redes SOHO y organizaciones gubernamentales. Alerta m\u00e1xima en la seguridad cibern\u00e9tica.<\/h2>\n

El pasado mi\u00e9rcoles, Microsoft emiti\u00f3 una advertencia en la que afirmaba que piratas inform\u00e1ticos patrocinados por el Estado chino hab\u00edan puesto en peligro infraestructuras cr\u00edticas de diversos sectores, entre ellos organizaciones gubernamentales y de comunicaciones.<\/p>\n

Un ataque que contin\u00faa el reciente suceso descubierto e informado por Check Point Research<\/strong>, la divisi\u00f3n de Inteligencia de Amenazas Check Point Software Technologies<\/strong>, un proveedor l\u00edder especializado en ciberseguridad a nivel mundial, en el que el grupo APT Camaro Dragon<\/strong>, patrocinado por el Estado chino, dirig\u00eda diferentes ataques a entidades europeas de asuntos exteriores.<\/p>\n

Seg\u00fan el an\u00e1lisis exhaustivo realizado por nuestros investigadores, estos ataques implantaban un firmware malicioso adaptado para los routers TP-Link, incluyendo una puerta trasera personalizada llamada \u00abHorse Shell<\/strong>\u00bb que permite a los atacantes mantener un acceso persistente, construir una infraestructura an\u00f3nima y habilitar el movimiento lateral entre las redes comprometidas.<\/p>\n

Ahora, Estados Unidos, Australia, Canad\u00e1, Nueva Zelanda<\/strong> y Reino Unido<\/strong>, pa\u00edses integrantes la red de inteligencia Five Eyes, han emitido un comunicado conjunto<\/p>\n

para poner de relieve un conjunto de actividades de inter\u00e9s descubierto recientemente y asociado a un ciberagente patrocinado por el Estado de la Rep\u00fablica Popular China (RPC), tambi\u00e9n conocido como Volt Typhoon<\/em>.<\/p><\/blockquote>\n

\"Espionaje<\/a>
Espionaje Chino<\/figcaption><\/figure>\n

Microsoft ha descubierto actividad maliciosa sigilosa y dirigida centrada en el acceso de credenciales posterior al compromiso y el descubrimiento del sistema de red dirigido a organizaciones de infraestructura cr\u00edtica en los Estados Unidos.<\/p>\n

El ataque lo lleva a cabo Volt Typhoon, un actor patrocinado por el estado con sede en China que generalmente se enfoca en el espionaje y la recopilaci\u00f3n de informaci\u00f3n.<\/p>\n

Microsoft eval\u00faa con confianza moderada que esta campa\u00f1a Volt Typhoon persigue el desarrollo de capacidades que podr\u00edan interrumpir la infraestructura de comunicaciones cr\u00edtica entre los Estados Unidos y la regi\u00f3n de Asia durante futuras crisis.<\/p>\n

Volt Typhoon ha estado activo desde mediados de 2021 y se ha dirigido a organizaciones de infraestructura cr\u00edtica en Guam y en otros lugares de los Estados Unidos.<\/p>\n

En esta campa\u00f1a, las organizaciones afectadas abarcan los sectores de comunicaciones, manufactura, servicios p\u00fablicos, transporte, construcci\u00f3n, mar\u00edtimo, gobierno, tecnolog\u00eda de la informaci\u00f3n y educaci\u00f3n.<\/p>\n

El comportamiento observado sugiere que el actor de amenazas tiene la intenci\u00f3n de realizar espionaje y mantener el acceso sin ser detectado durante el mayor tiempo posible.\u00a0Microsoft elige resaltar esta actividad de Volt Typhoon en este momento debido a nuestra gran preocupaci\u00f3n sobre el potencial de un mayor impacto para nuestros clientes.<\/p>\n

Aunque nuestra visibilidad de estas amenazas nos ha dado la capacidad de implementar detecciones para nuestros clientes,<\/p>\n

Para lograr su objetivo, el actor de amenazas pone un gran \u00e9nfasis en el sigilo en esta campa\u00f1a, apoy\u00e1ndose casi exclusivamente en\u00a0t\u00e9cnicas de vivir fuera de la tierra<\/a>\u00a0y en la actividad pr\u00e1ctica del teclado.<\/p>\n

Emiten comandos a trav\u00e9s de la l\u00ednea de comandos para (1) recopilar datos, incluidas las credenciales de los sistemas locales y de red, (2) poner los datos en un archivo para prepararlo para la exfiltraci\u00f3n y luego (3) usar las credenciales v\u00e1lidas robadas para mantener persistencia.\u00a0Adem\u00e1s, Volt Typhoon intenta integrarse en la actividad normal de la red al enrutar el tr\u00e1fico a trav\u00e9s de equipos de red comprometidos para oficinas peque\u00f1as y oficinas dom\u00e9sticas (SOHO), incluidos enrutadores, firewalls y hardware VPN.\u00a0Tambi\u00e9n se ha observado que usan versiones personalizadas de herramientas de c\u00f3digo abierto para establecer un canal de comando y control (C2) a trav\u00e9s de un proxy para permanecer a\u00fan m\u00e1s ocultos.<\/p>\n

En esta publicaci\u00f3n de blog, compartimos informaci\u00f3n sobre Volt Typhoon, su campa\u00f1a dirigida a proveedores de infraestructura cr\u00edtica y sus t\u00e1cticas para lograr y mantener el acceso no autorizado a las redes objetivo.<\/p>\n

Debido a que esta actividad se basa en cuentas v\u00e1lidas y binarios de vida libre (LOLBins), detectar y mitigar este ataque podr\u00eda ser un desaf\u00edo.<\/p>\n

Las cuentas comprometidas deben cerrarse o modificarse.\u00a0Al final de esta publicaci\u00f3n de blog, compartimos m\u00e1s pasos de mitigaci\u00f3n y mejores pr\u00e1cticas, as\u00ed como tambi\u00e9n brindamos detalles sobre c\u00f3mo Microsoft 365 Defender detecta actividades maliciosas y sospechosas para proteger a las organizaciones de tales ataques sigilosos.<\/p>\n

La Agencia de Seguridad Nacional (NSA) tambi\u00e9n ha publicado un\u00a0Aviso de Ciberseguridad [PDF]que contiene una gu\u00eda de caza para las t\u00e1cticas, t\u00e9cnicas y procedimientos (TTP) discutidos en este blog.<\/p>\n

Al igual que con cualquier actividad de actor de estado-naci\u00f3n observada, Microsoft ha notificado directamente a los clientes objetivo o comprometidos, brind\u00e1ndoles informaci\u00f3n importante necesaria para proteger sus entornos.<\/p>\n

Para obtener m\u00e1s informaci\u00f3n sobre el enfoque de Microsoft para el seguimiento de actores de amenazas, lea\u00a0Microsoft cambia a una nueva taxonom\u00eda de nombres de actores de amenazas<\/a>\u00a0.<\/p>\n

Acceso inicial<\/h2>\n

Volt Typhoon logra acceso inicial a organizaciones objetivo a trav\u00e9s de dispositivos Fortinet FortiGuard con acceso a Internet.\u00a0Microsoft contin\u00faa investigando los m\u00e9todos de Volt Typhoon para obtener acceso a estos dispositivos.<\/p>\n

El actor de amenazas intenta aprovechar los privilegios que ofrece el dispositivo Fortinet, extrae las credenciales de una cuenta de Active Directory utilizada por el dispositivo y luego intenta autenticarse en otros dispositivos de la red con esas credenciales.<\/p>\n

Volt Typhoon env\u00eda todo su tr\u00e1fico de red a sus objetivos a trav\u00e9s de dispositivos de borde de red SOHO comprometidos (incluidos los enrutadores).<\/p>\n

Microsoft ha confirmado que muchos de los dispositivos, que incluyen los fabricados por ASUS, Cisco, D-Link, NETGEAR y Zyxel, permiten al propietario exponer las interfaces de administraci\u00f3n HTTP o SSH a Internet.<\/p>\n

Los propietarios de dispositivos de borde de red deben asegurarse de que las interfaces de administraci\u00f3n no est\u00e9n expuestas a la Internet p\u00fablica para reducir su superficie de ataque.<\/p>\n

Al actuar como proxy a trav\u00e9s de estos dispositivos, Volt Typhoon mejora el sigilo de sus operaciones y reduce los costos generales de adquisici\u00f3n de infraestructura.<\/p>\n

Actividad posterior al compromiso<\/h2>\n

Una vez que Volt Typhoon obtiene acceso a un entorno de destino, comienzan a realizar actividades pr\u00e1cticas en el teclado a trav\u00e9s de la l\u00ednea de comandos.\u00a0Algunos de estos comandos parecen ser exploratorios o experimentales, ya que los operadores los ajustan y los repiten varias veces.<\/p>\n

Volt Typhoon rara vez usa malware en su actividad posterior al compromiso.<\/p>\n

En cambio, conf\u00edan en los comandos de vivir fuera de la tierra para encontrar informaci\u00f3n en el sistema, descubrir dispositivos adicionales en la red y filtrar datos.<\/p>\n

Describimos sus actividades en las siguientes secciones, incluidas las acciones m\u00e1s impactantes relacionadas con el acceso de credenciales.<\/p>\n

Acceso con credencial<\/h3>\n

Si la cuenta que Volt Typhoon compromete desde el dispositivo Fortinet tiene acceso privilegiado, usan esa cuenta para realizar las siguientes actividades de acceso a las credenciales.<\/p>\n

Microsoft ha observado que Volt Typhoon intenta volcar las credenciales\u00a0a trav\u00e9s del Servicio de subsistema de autoridad de seguridad local (LSASS)<\/a>\u00a0.\u00a0El espacio de memoria del proceso LSASS contiene hashes para las credenciales del sistema operativo (SO)<\/a>\u00a0del usuario actual\u00a0.<\/p>\n

\"texto\"
Figura 2. Comando Volt Typhoon para volcar la memoria del proceso LSASS, codificado en Base64<\/figcaption><\/figure>\n
\"\"
Figura 3. Comando Base64 de Volt Typhoon decodificado para volcar la memoria del proceso LSASS<\/figcaption><\/figure>\n

 <\/p>\n

Volt Typhoon tambi\u00e9n intenta con frecuencia utilizar la herramienta de l\u00ednea de comandos\u00a0Ntdsutil.exe<\/em>\u00a0para crear medios de instalaci\u00f3n desde controladores de dominio, ya sea de forma remota o local.\u00a0Estos medios est\u00e1n destinados a ser utilizados en la\u00a0instalaci\u00f3n de nuevos controladores de dominio<\/a>\u00a0.<\/p>\n

Los archivos en los medios de instalaci\u00f3n contienen nombres de usuario y hash de contrase\u00f1as que los actores de amenazas pueden descifrar sin conexi\u00f3n, brind\u00e1ndoles credenciales de cuenta de dominio v\u00e1lidas que podr\u00edan usar para recuperar el acceso a una organizaci\u00f3n comprometida si pierden el acceso.<\/p>\n

\"\"
Figura 4. Comando Volt Typhoon para crear medios de instalaci\u00f3n de controladores de dominio de forma remota<\/figcaption><\/figure>\n
\"\"
Figura 5. Comando Volt Typhoon para crear localmente medios de instalaci\u00f3n del controlador de dominio<\/figcaption><\/figure>\n

Descubrimiento<\/h3>\n

Microsoft ha observado que Volt Typhoon descubre informaci\u00f3n del sistema, incluidos los tipos de sistemas de archivos;\u00a0nombres de unidades, tama\u00f1o y espacio libre;\u00a0Procesos corriendo;\u00a0y redes abiertas.<\/p>\n

Tambi\u00e9n intentan descubrir otros sistemas en la red comprometida mediante PowerShell, la l\u00ednea de comandos del Instrumental de administraci\u00f3n de Windows (WMIC) y el comando\u00a0ping<\/em>\u00a0.<\/p>\n

En una peque\u00f1a cantidad de casos, los actores de amenazas ejecutan verificaciones del sistema para determinar si est\u00e1n operando dentro de un entorno virtualizado.<\/p>\n

Recopilaci\u00f3n<\/h3>\n

Adem\u00e1s del sistema operativo y las credenciales de dominio, Volt Typhoon descarga informaci\u00f3n de las aplicaciones de navegador web locales.<\/p>\n

Microsoft tambi\u00e9n ha observado a los actores de amenazas organizando los datos recopilados en archivos protegidos con contrase\u00f1a.<\/p>\n

Comando y control<\/h3>\n

En la mayor\u00eda de los casos, Volt Typhoon accede a los sistemas comprometidos iniciando sesi\u00f3n con credenciales v\u00e1lidas, de la misma manera que lo hacen los usuarios autorizados.<\/p>\n

Sin embargo, en una peque\u00f1a cantidad de casos, Microsoft ha observado que los operadores de Volt Typhoon crean proxies en sistemas comprometidos para facilitar el acceso.\u00a0Logran esto con el comando integrado\u00a0netsh portproxy<\/em><\/a>\u00a0.<\/p>\n

\"una
Figura 6. Comandos de Volt Typhoon que crean y luego eliminan un proxy de puerto en un sistema comprometido<\/figcaption><\/figure>\n

 <\/p>\n

En casos excepcionales, tambi\u00e9n usan versiones personalizadas de las herramientas de c\u00f3digo abierto Impacket y Fast Reverse Proxy (FRP) para establecer un canal C2 a trav\u00e9s del proxy.<\/p>\n

Las organizaciones comprometidas observar\u00e1n el acceso C2 en forma de inicios de sesi\u00f3n exitosos desde direcciones IP inusuales.<\/p>\n

La misma cuenta de usuario utilizada para estos inicios de sesi\u00f3n se puede vincular a la actividad de la l\u00ednea de comandos que lleva a cabo m\u00e1s accesos de credenciales.\u00a0Microsoft continuar\u00e1 monitoreando Volt Typhoon y rastreando los cambios en su actividad y herramientas.<\/p>\n

Gu\u00eda de mitigaci\u00f3n y protecci\u00f3n<\/h2>\n

Mitigar el riesgo de adversarios como Volt Typhoon, que se basan en cuentas v\u00e1lidas y binarios que viven de la tierra (LOLBins), es particularmente desafiante.<\/p>\n

La detecci\u00f3n de actividad que utiliza canales de inicio de sesi\u00f3n normales y archivos binarios del sistema requiere una supervisi\u00f3n del comportamiento.<\/p>\n

La correcci\u00f3n requiere cerrar o cambiar las credenciales de las cuentas comprometidas.\u00a0Las cuentas sospechosas comprometidas o los sistemas afectados deben investigarse:<\/p>\n