¿Apagar la luz de todo un país? Los chinos ya pueden hacerlo: la infraestructura está lista, solo falta pulsar un botón

Una operación cibernética a gran escala y altamente encubierta, presuntamente organizada por estructuras vinculadas al gobierno chino, ha sido descubierta por especialistas de Security Scorecard. Los expertos creen que detrás del ataque están los conocidos grupos Volt Typhoon y Salt Typhoon, que utilizan su habitual conjunto de tácticas y métodos. El principal objetivo de la campaña es obtener acceso a largo plazo a las redes y crear una infraestructura distribuida que oculte su actividad.

Según Security Scorecard, la operación continúa al menos desde septiembre de 2023 y sigue expandiéndose. Durante este tiempo, los atacantes han logrado infectar al menos mil dispositivos, principalmente en Estados Unidos y países del este de Asia. La lista de víctimas incluye proveedores de Internet, fabricantes de equipos, empresas de TI, inmobiliarias, medios de comunicación y otras industrias.

Los atacantes prestaron especial atención a dispositivos obsoletos y vulnerables, como routers, cámaras IP, servidores de virtualización y otros equipos utilizados en oficinas pequeñas y redes domésticas. Precisamente a partir de estos dispositivos se construye una infraestructura encubierta llamada Operational Relay Box (ORB). Esta red permite a los delincuentes ocultar sus ataques, redirigiendo el tráfico a través de dispositivos infectados ubicados cerca de los objetivos. Los grupos chinos utilizan cada vez más esta táctica, ya que hace que los ciberataques parezcan originarse dentro de la región objetivo, lo que complica significativamente su detección y respuesta.

El número total de dispositivos infectados, según estimaciones, ya asciende a cientos, si no miles. Más del 90% de ellos se concentran en cinco regiones: Estados Unidos (352 dispositivos), Japón (256), Corea del Sur (226), Taiwán (80) y Hong Kong (37).

Security Scorecard ha denominado a la red descubierta con el nombre en clave LapDogs. Está compuesta principalmente por dispositivos antiguos y desprotegidos, especialmente aquellos basados en Linux. Casi el 55% de los dispositivos infectados son puntos de acceso de Ruckus Wireless. También se han detectado numerosos ataques a routers Buffalo Technology AirStation.

Durante los ataques, los delincuentes explotan activamente vulnerabilidades conocidas, incluidas CVE-2015-1548 y CVE-2017-17663, descubiertas en el mini servidor web ACME mini_httpd. La primera permite extraer datos confidenciales de la memoria del dispositivo de forma remota, y la segunda permite la ejecución remota de código mediante un desbordamiento de búfer.

Tras conseguir el acceso al dispositivo, se descarga un backdoor especialmente diseñado llamado ShortLeash. Este malware crea un certificado de seguridad autofirmado que se hace pasar por una firma de la policía de Los Ángeles (LAPD). Este truco dio nombre a toda la campaña: LapDogs.

El backdoor garantiza un control persistente del dispositivo: se ejecuta con privilegios de administrador, se reinicia cada vez que se enciende el dispositivo y cuenta con un mecanismo de copia de seguridad en caso de eliminación. Dependiendo del sistema operativo, el ataque se adapta: en Ubuntu, la infección ocurre en el directorio /etc/systemd/system/, en CentOS — en /lib/systemd/system/. Si el dispositivo no corresponde a estos sistemas, el script muestra en pantalla un mensaje en chino: "Sistema desconocido".

El propósito principal del malware instalado en los dispositivos sigue siendo desconocido, ya que su contenido está cifrado y requiere un análisis más profundo. Sin embargo, se sabe que una muestra similar fue detectada anteriormente por Cisco Talos durante un ataque a infraestructuras críticas en Taiwán. Esto sugiere que el objetivo final podría ser interrumpir el funcionamiento de sistemas clave o desactivar infraestructuras en el futuro.

Los atacantes toman serias medidas para ocultar sus huellas, incluido el cifrado del tráfico y el uso de puertos poco visibles. Sin embargo, los expertos en ciberseguridad advierten que existen señales que permiten identificar esta actividad. Uno de los indicadores preocupantes son las conexiones cifradas desde dispositivos domésticos u oficinas que normalmente no se comunican con redes corporativas. Especialmente sospechosas son las conexiones a través de puertos no estándar y certificados supuestamente emitidos por la LAPD. Security Scorecard enfatizó que, al detectar este tipo de tráfico, es fundamental actuar de inmediato. Ignorar estas señales puede llevar a la pérdida de control de las redes y tener graves consecuencias para la seguridad de la infraestructura.