¿Puede una VPN convertirse en una puerta de entrada para los hackers? Un nuevo informe muestra que sí.
Cuanto más sencillas sean las configuraciones de una VPN, más rápido se utilizarán en ataques cada vez más complejos.
El grupo vinculado con China UAT-7237 fue objeto de un nuevo informe de Cisco Talos. Según los datos de los especialistas, este equipo opera desde 2022 y se especializa en afianzarse a largo plazo en la infraestructura de sus víctimas. En uno de los episodios documentados, los atacantes se infiltraron en las redes de un proveedor de hosting taiwanés, donde la prioridad fue obtener acceso a la VPN y a los servicios en la nube de la empresa. Para ello, los piratas combinaron herramientas públicas con desarrollos propios.
El análisis de los servidores usados en la campaña mostró que para mantener el acceso persistente se empleó un cliente SoftEther VPN con la configuración por defecto en chino simplificado. Este detalle confirmó la hipótesis sobre el origen del grupo. Talos lo relaciona con otra conocida APT china — UAT-5918 —, que también apunta a infraestructuras críticas de Taiwán y guarda similitudes con Volt Typhoon y Flax Typhoon. No obstante, los investigadores distinguen a UAT-7237 como un colectivo aparte por diferencias en la táctica: aquí se prefiere instalar Cobalt Strike y usar un número limitado de web shells, mientras que UAT-5918 utiliza activamente Meterpreter y despliega masivamente web backdoors.
Para el acceso inicial, UAT-7237 explota vulnerabilidades en servicios públicos no actualizados. Tras afianzarse, los atacantes realizan reconocimiento y luego instalan SoftEther VPN para mantener una presencia encubierta y prolongada. Además de Cobalt Strike, emplean otras herramientas: un cargador personalizado llamado SoundBill, escrito en chino y basado en VTHello, que contiene dos ejecutables vinculados al mensajero chino QQ, presumiblemente usados como señuelos en ataques de phishing. También recurren con frecuencia a JuicyPotato para elevar privilegios y ejecutar comandos.
Para robar credenciales, los atacantes usan Mimikatz, analizan el registro del sistema y el contenido de los discos. En algunos casos intentaron modificar configuraciones y permisos de usuarios para almacenar contraseñas en texto claro. Para trabajar con LSASS emplearon el proyecto ssp_dump_lsass desde GitHub, que permite extraer contraseñas directamente de la memoria del proceso. Como mecanismo adicional, ejecutaban archivos BAT con órdenes a través de utilidades de terceros.
El escaneo de la red se realizaba con FScan, que comprueba puertos abiertos en subredes y recopila información sobre servicios SMB. Al obtener acceso a nuevos sistemas, los atacantes efectuaban rápidamente reconocimiento adicional e intentaban moverse lateralmente usando las contraseñas previamente robadas.
Los propios investigadores de Talos no divulgaron cuántas organizaciones resultaron afectadas por la actividad de UAT-7237 ni qué sectores estuvieron en el punto de mira. Sin embargo, los indicadores de compromiso publicados ya están disponibles en el repositorio oficial del proyecto en GitHub, lo que puede ayudar a los administradores a comprobar sus sistemas en busca de señales de intrusión. Una conclusión importante del informe es el énfasis en que incluso vulnerabilidades conocidas, si los servidores no se actualizan, se convierten en puntos de entrada para este tipo de ataques.
Tu privacidad está muriendo lentamente, pero nosotros podemos salvarla