Puerta trasera «fantasma»: más de un año en las redes de empresas multinacionales. ¿Qué prepara China?

Según los datos de Google Threat Intelligence, el grupo de espionaje vinculado a China UNC5221 llevó a cabo desde marzo de este año una serie de intrusiones exitosas en redes corporativas, aprovechando vulnerabilidades hasta entonces desconocidas en productos de Ivanti. Como resultado de los ataques se instalaron puertas traseras que permitieron a los atacantes mantener acceso no detectado a la infraestructura de las víctimas durante un promedio de 393 días.

Los especialistas atribuyeron las acciones al grupo UNC5221 y a otras formaciones ciberespías chinas cercanas. Según el informe, UNC5221 empezó a explotar activamente vulnerabilidades en dispositivos de Ivanti ya en 2023. Google subraya que este grupo no está vinculado a Silk Typhoon (anteriormente Hafnium), que se sospecha del ataque al Departamento del Tesoro de EE. UU. en diciembre.

En la clasificación de Google, UNC significa "Uncategorized", es decir, no perteneciente ni a los grupos motivados financieramente (FIN) ni a los grupos APT estatales, aunque el origen de UNC5221 apunta claramente a apoyo estatal.

Desde la primavera de 2025, los expertos de Mandiant respondieron a incidentes relacionados con este grupo en ámbitos muy diversos: desde despachos jurídicos hasta proveedores de SaaS y empresas de externalización empresarial. En la mayoría de los casos los atacantes emplearon la puerta trasera BRICKSTORM, instalada en dispositivos que no son compatibles con las herramientas tradicionales de detección (EDR). Esto permitió a los atacantes mantener ocultas sus acciones: los sistemas de seguridad de las organizaciones simplemente no registraban la actividad maliciosa.

Para ayudar a detectar infecciones, Google publicó una herramienta de escaneo gratuita que no requiere la instalación de YARA y es adecuada para sistemas basados en Linux y BSD. Busca firmas y patrones únicos en el código característicos de BRICKSTORM. Representantes de Mandiant subrayan que el número de sistemas infectados podría ser significativo cuando las organizaciones comiencen a revisar masivamente sus dispositivos: se espera que las consecuencias de esta campaña sigan revelándose durante uno o dos años más.

Al menos en un caso los atacantes obtuvieron acceso mediante un día cero en Ivanti Connect Secure. Aunque Google no especifica a qué vulnerabilidad concreta se refiere, los investigadores habían vinculado previamente a UNC5221 con la explotación activa de CVE‑2023‑46805 y CVE‑2024‑21887 — ambas se divulgaron públicamente solo en enero de 2024.

Tras la infiltración en la red, los atacantes instalaban BRICKSTORM: un malware escrito en Go y equipado con funcionalidad proxy (SOCKS). Aunque se menciona una versión para Windows, los expertos de Mandiant no la observaron directamente; los datos sobre la existencia de esa modificación son indirectos. De hecho, el malware se encontró en dispositivos Linux y BSD, incluidos appliances de red de varios fabricantes.

UNC5221 ataca regularmente servidores VMware vCenter y hosts ESXi, a menudo empezando por la infección de dispositivos perimetrales y luego, mediante credenciales robadas, moviéndose lateralmente en la red. En uno de los ataques BRICKSTORM fue implantado en vCenter después de que comenzara la investigación del incidente, lo que indica la capacidad del adversario para adaptarse en tiempo real y monitorizar las acciones de los defensores. El malware también fue modificado: se emplearon herramientas de ofuscación Garble, bibliotecas personalizadas wssoft y, en un caso, un temporizador que retrasaba la actividad hasta una fecha determinada.

Además, en varios casos los atacantes emplearon otro malware, BRICKSTEAL, que es un filtro de Java Servlet para Apache Tomcat que opera dentro de la interfaz web de vCenter. Intercepta cabeceras HTTP Basic Auth, extrayendo nombres de usuario y contraseñas, incluidas credenciales de dominio si la organización usa Active Directory. Normalmente la instalación del filtro requiere modificar la configuración y reiniciar el servidor, pero en este caso los atacantes usaron un dropper especial que inyectaba el código en la memoria sin reiniciar, lo que incrementa aún más la sigilosidad.

Dentro de las intrusiones, los atacantes también obtenían acceso a los buzones de correo de empleados clave — desarrolladores, administradores de sistemas y otros especialistas cuya actividad puede ser de interés para intereses económicos o de inteligencia chinos. Para ello se aprovecharon las capacidades de Microsoft Entra ID Enterprise Applications con permisos mail.read o full_access_as_app, que permiten leer cualquier correo de la organización.

La exfiltración de archivos desde los sistemas comprometidos se realizaba a través del mecanismo proxy de BRICKSTORM: los atacantes creaban túneles e interactuaban directamente con las aplicaciones web de la víctima. En algunos incidentes los atacantes eliminaron manualmente muestras del malware, y su presencia solo se pudo detectar al analizar copias de seguridad: fueron precisamente esas copias las que conservaron rastros de la actividad de BRICKSTORM.

Mandiant subraya que el grupo no reutiliza dominios de C2 ni duplica muestras de malware, lo que hace que los indicadores tradicionales de compromiso (IOC) sean prácticamente inútiles. En lugar de ello, la empresa recomienda aplicar un enfoque basado en el comportamiento, fundamentado en TTP (tácticas, técnicas y procedimientos), y proporciona un método detallado de nueve pasos para buscar signos de ataques.

Se aconseja a las organizaciones actualizar el inventario de sus dispositivos, incluidos los appliances perimetrales, y analizar los registros de red: la existencia de conexiones a Internet desde direcciones IP de gestión, intentos de acceso a sistemas Windows, acciones sospechosas en Microsoft 365 y operaciones no autorizadas con VMware. Entre los indicadores de ataque también figuran la clonación de máquinas virtuales, la creación de cuentas locales, la activación de SSH en la plataforma vSphere y el arranque de máquinas virtuales no autorizadas.