Sigilo Absoluto: Hackers Chinos Usan Herramienta de Mapas Para Ocultarse Durante un Año

🕵️‍♂️ Sigilo Absoluto: Hackers Chinos Usan Herramienta de Mapas Para Ocultarse Durante un Año 🗓️

¡Alerta de ciberseguridad! En uno de los casos de espionaje digital más ingeniosos y pacientes que se han visto, un grupo de piratas informáticos vinculados al estado chino logró permanecer completamente oculto dentro de la red de una víctima durante más de un año. ¿Su arma secreta? Un software de mapeo geográfico totalmente legítimo que convirtieron en una poderosa puerta trasera. ¡Te contamos cómo lo hicieron y por qué este ataque es tan alarmantemente brillante!

🗺️ ArcGIS: De Herramienta Geográfica a Caballo de Troya

El software en el centro de esta operación es ArcGIS, un sistema de información geográfica (GIS) desarrollado por Esri y utilizado por innumerables organizaciones en todo el mundo, incluyendo municipios, servicios públicos y operadores de infraestructuras críticas. Su función es recopilar, analizar y visualizar datos geográficos en mapas.

Una de sus características clave son las Extensiones de Objetos de Servidor (SOE), que permiten a los usuarios ampliar la funcionalidad básica del software. Y fue precisamente esta capacidad de personalización la que los atacantes explotaron de manera magistral.

Flax Typhoon: Los Fantasmas Digitales 👻

Los investigadores de la firma de ciberseguridad ReliaQuest, que destaparon este complot, tienen una alta confianza en que el actor de la amenaza es un grupo APT (Amenaza Persistente Avanzada) chino, y una confianza moderada en que se trata de Flax Typhoon. Este grupo es conocido por sus campañas de espionaje sigiloso y su preferencia por establecer acceso a largo plazo utilizando software legítimo para no levantar sospechas.

💻 La Anatomía de un Ataque Casi Perfecto

El ataque se desarrolló en varias fases, cada una diseñada para ser lo más discreta posible y mezclarse con la actividad normal de la red.

1. El Acceso Inicial: Credenciales Válidas

El primer paso de los hackers fue obtener credenciales de administrador válidas. Con ellas, iniciaron sesión en un servidor ArcGIS público de la víctima, que, crucialmente, estaba vinculado a un servidor ArcGIS interno y privado.

2. El Arma Secreta: El SOE Malicioso

Una vez dentro, el atacante subió un SOE de Java malicioso. Este pequeño componente modificado actuaba como un web shell, una especie de consola de comandos remota. Aceptaba comandos codificados en base64 a través de un parámetro de la API REST (llamado «capa») y los ejecutaba en el servidor interno.

Para los sistemas de seguridad, estas acciones parecían operaciones de rutina de ArcGIS, lo que las hacía prácticamente indetectables. Además, para asegurarse de que solo ellos pudieran usar esta puerta trasera, el intercambio de datos estaba protegido por una clave secreta codificada.

3. De ArcGIS a una VPN Persistente: Asegurando el Acceso 🌐

Para no depender únicamente del web shell y asegurar su persistencia en la red, Flax Typhoon utilizó el SOE malicioso para un segundo movimiento clave: descargar e instalar SoftEther VPN Bridge.

Este software de VPN fue registrado como un servicio de Windows, configurado para iniciarse automáticamente cada vez que el sistema se reiniciaba. Una vez activo, establecía un túnel HTTPS saliente al servidor del atacante en la dirección IP 172.86.113[.]142, vinculando de forma encubierta la red interna de la víctima con la máquina de los hackers.

El Camuflaje Perfecto

La conexión VPN utilizaba el tráfico HTTPS normal en el puerto 443, el mismo que se usa para la navegación web segura. Esto hacía que la conexión se mezclara perfectamente con el tráfico legítimo, siendo extremadamente difícil de detectar. Incluso si el SOE malicioso fuera descubierto y eliminado, el servicio de VPN seguiría activo, garantizando el acceso a largo plazo.

🎯 El Objetivo Final: Movimiento Lateral y Robo de Credenciales

Con la conexión VPN estable y oculta, los atacantes tenían carta blanca para explorar la red de la víctima sin restricciones. ReliaQuest observó cómo los hackers:


  • Escaneaban la red local en busca de otros objetivos.


  • Se movían lateralmente para acceder a otros hosts internos.


  • Intentaban volcar la base de datos del Administrador de Cuentas de Seguridad (SAM) y los secretos de LSA de dos estaciones de trabajo del personal de TI.

«Se trataba de claros intentos de ‘usar el teclado’ para aumentar privilegios y obtener las credenciales necesarias para profundizar su presencia en la red», afirman los investigadores de ReliaQuest.

Una de las pistas más reveladoras fue la creación y acceso a un archivo llamado «pass.txt.lnk» en el disco, un indicio claro de que estaban recolectando activamente contraseñas para moverse por el entorno de Active Directory (AD) y comprometer más sistemas.

🇨🇳 Flax Typhoon y la Botnet «Raptor Train»

La audacia de Flax Typhoon no es nueva. Este grupo, conocido por atacar gobiernos e infraestructuras críticas, ha sido vinculado por el FBI a la masiva red de bots «Raptor Train», que ha afectado a cientos de miles de dispositivos en Estados Unidos y otros países. A principios de este año, la Oficina de Control de Activos Extranjeros (OFAC) del Tesoro de EE. UU. incluso sancionó a empresas que apoyaban a estos hackers patrocinados por el estado.

El uso de un SOE de ArcGIS, sin embargo, es una táctica novedosa. La propia Esri, desarrolladora del software, confirmó que es la primera vez que observan un SOE utilizado de esta manera y ha anunciado que actualizará su documentación para advertir a los usuarios sobre este riesgo.

Este incidente, actualizado a martes, 14 de octubre de 2025, es un escalofriante recordatorio de la sofisticación y paciencia de los actores de amenazas estatales, y de cómo pueden convertir herramientas de confianza en armas silenciosas para el ciberespionaje.

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Compartir

Publicaciones relacionadas:

Publicaciones no relacionadas.

Explorar webs

Elige un sitio para explorar

Tecnología
Criptomonedas
Configurador PC
Explorando dentro de nauzetjesus.com

Tendencias en YouTube

×