En los últimos días, se dieron a conocer tres investigaciones que revelan nuevas operaciones de ciberespionaje atribuidas a grupos vinculados a China. Los reportes apuntan a ataques dirigidos contra gobiernos, sectores legales, tecnológicos, de defensa y organismos internacionales, con técnicas que combinan el uso de vulnerabilidades conocidas, herramientas de código abierto y malware especializado.

RedNovember: ofensiva global contra gobiernos y contratistas de defensa

La firma de inteligencia de amenazas Recorded Future identificó al grupo chino RedNovember, también rastreado por Microsoft como Storm-2077, como responsable de ataques contra organizaciones gubernamentales y privadas en todo el mundo. Entre junio de 2024 y julio de 2025, el grupo explotó vulnerabilidades en dispositivos de seguridad perimetral y utilizó el backdoor Pantegana junto con la herramienta Cobalt Strike para comprometer redes de alto perfil.

Según el informe, entre las víctimas probables figuran ministerios y agencias de Asia Central, África y Europa, además de contratistas de defensa en Estados Unidos y un fabricante europeo de motores. Los investigadores señalan que la estrategia del grupo refleja una tendencia común en otros actores chinos: aprovechar fallas en firewalls, VPNs o balanceadores de carga para lograr acceso y persistencia a largo plazo.

Un aspecto destacado es el uso de herramientas de código abierto, como Pantegana y Spark RAT, que permiten confundir los intentos de atribución. Los atacantes también se apoyaron en servicios de VPN comerciales como ExpressVPN y Warp VPN para manejar la infraestructura de ataque.

Recorded Future concluyó que RedNovember ha operado en múltiples regiones —incluyendo Panamá, Estados Unidos, Taiwán y Corea del Sur— y que sus campañas sugieren “requisitos de inteligencia amplios y cambiantes”. Varios de estos países y/o regiones, han sido (o siguen siendo) objeto de tensiones geopolíticas.

UNC5221 y el backdoor BRICKSTORM en sectores legales y tecnológicos durante más de un año

Otra investigación, esta vez de Mandiant y Google Threat Intelligence Group (GTIG), reveló que el grupo UNC5221, también asociado a actores de amenazas chinos, desplegó el backdoor BRICKSTORM contra empresas de servicios legales, tecnológicos y proveedores de software en la nube en Estados Unidos.

El objetivo principal, según el informe, es doble: acceder a los datos que los proveedores SaaS almacenan de sus clientes y obtener información sensible vinculada a seguridad nacional, comercio internacional y propiedad intelectual. BRICKSTORM, desarrollado en Go, permite manipular archivos, ejecutar comandos y establecer comunicación con servidores de control mediante WebSockets, lo que facilita el acceso prolongado y sigiloso a los sistemas comprometidos.

Los investigadores documentaron que, en promedio, el grupo logró mantenerse sin ser detectado durante más de un año. Instaló backdoors en dispositivos sin herramientas de detección tradicionales y utilizó técnicas de movimiento lateral con mínima generación de alertas.

GTIG subrayó que la campaña representa una amenaza significativa por su nivel de sofisticación y su capacidad de evadir defensas avanzadas. “El acceso obtenido por UNC5221 les permite pivotar hacia clientes downstream de proveedores SaaS comprometidos o descubrir vulnerabilidades de día cero”, señaló Charles Carmakal, CTO de Mandiant Consulting en Google Cloud.

GeoServer: vulnerabilidad explotada en una agencia federal de EE.UU.

La tercera alerta provino de la Agencia de Ciberseguridad e Infraestructura de EE.UU. (CISA), que informó sobre el compromiso de una agencia civil federal a través de una vulnerabilidad crítica en GeoServer (CVE-2024-36401), con una puntuación CVSS de 9.8. La falla, divulgada en junio de 2024, permitía la ejecución remota de código y fue aprovechada apenas semanas después de hacerse pública.

De acuerdo con CISA, los atacantes lograron moverse lateralmente a servidores web y SQL, donde desplegaron el web shell China Chopper, además de scripts de acceso remoto y herramientas de reconocimiento. También intentaron mantener persistencia creando cuentas de usuario, tareas programadas y explotando la vulnerabilidad Dirty COW en Linux.

El grupo permaneció en el entorno durante tres semanas sin ser detectado, pese a que la agencia contaba con una herramienta de detección en endpoints. La falta de procedimientos claros para involucrar terceros y la omisión de alertas de seguridad contribuyeron a la demora en identificar el incidente.

Aunque CISA no atribuyó el ataque a un grupo específico, destacó que China Chopper es ampliamente utilizado por actores chinos como APT41 (Brass Typhoon), Gallium (Granite Typhoon) y Hafnium (Silk Typhoon).