Presuntos atacantes chinos habrían penetrado redes rusas, en un episodio de ciberespionaje que sorprende por involucrar a dos socios estratégicos.

Un informe reciente de la firma de ciberseguridad Symantec revela un hecho llamativo: hackers presuntamente vinculados al Estado chino habrían penetrado la red de un proveedor ruso de servicios de TI entre enero y mayo de 2025, robando acceso a repositorios de código y sistemas de compilación. El objetivo podría haber sido un ataque a la cadena de suministro hacia los clientes del proveedor ruso.

El grupo detrás del ataque es denominado Jewelbug (también identificado como Earth Alux, CL-STA-0049 o REF7707), un actor de amenazas que, según Symantec, prefiere operaciones de espionaje a largo plazo antes que beneficios económicos.

El blanco del ataque fueron proveedores de TI que tienen acceso a sistemas de muchos clientes. Si un proveedor es comprometido, los atacantes podrían desplegar código malicioso o actualizaciones infectadas que se propagan hacia múltiples empresas. Así, un solo fallo puede comprometer redes enteras.

Para evitar ser detectados, los atacantes usaron técnicas sofisticadas: renombraron el depurador de Microsoft para evadir listas de aplicaciones permitidas, robaron credenciales, utilizaron tareas programadas para persistencia y limpiaron registros de eventos de Windows para no dejar rastros.

Pero además, los datos extraídos se enviaban a Yandex Cloud, un servicio en la nube legítimo usado ampliamente en Rusia. Eso los ayudó a camuflarse con tráfico normal y reduce el riesgo de levantar alertas.

Jewelbug ha sido observado atacando otras regiones: una agencia de gobierno sudamericana, una empresa taiwanesa y un proveedor de TI en Asia del Sur. En algunas de esas acciones, los investigadores descubrieron un backdoor en desarrollo, lo que sugiere que el grupo está ampliando sus capacidades técnicas.

¿Fuego amigo?

Quizás lo más sorprendente en este caso es que Rusia y China son considerados como aliados y socios estratégicos, con cooperación militar, económica y diplomática. Que un actor presuntamente chino lance un ataque a infraestructura rusa rompe esa lógica habitual. El hecho de apuntar a un socio estratégico resalta la teoría más extendida sobre este evento: Rusía no estaría fuera de los límites de ciberespionaje para China.

Hasta el momento, no se ha reportado ninguna reacción oficial por parte de Moscú ni Pekín que reconozca o condene públicamente la intrusión atribuida a Jewelbug. No hay comunicados que aclaren lo sucedido ni que tomen postura, al menos en fuentes accesibles públicamente.

Una hipótesis alternativa, aunque no es la más respaldada, es que este ataque puede haber sido parte de un ejercicio conjunto encubierto, aprovechando los acuerdos militares y de cooperación entre ambos países. Dado que Rusia y China ya han realizado ejercicios militares conjuntos, podría haber un nivel de coordinación interno desconocido a nivel cibernético. Pero por el momento esta teoría es más especulación que otra cosa: no hay evidencias sólidas que la respalden por ahora.