De mapas a espionaje: una popular plataforma se convirtió en la tapadera perfecta de un grupo de hackers

Durante más de un año, un grupo de hackers chino utilizó un servidor ArcGIS como canal secreto de acceso, convirtiéndolo en un punto de penetración persistente. La campaña, descubierta por especialistas de ReliaQuest, está vinculada al grupo Flax Typhoon, también conocido como Ethereal Panda y RedJuliett. Según las autoridades estadounidenses, tras las acciones del grupo está la empresa pública registrada en Pekín Integrity Technology Group.

La operación se basó en la modificación no autorizada del objeto de extensión del servidor Java (SOE) utilizado en la aplicación de información geográfica ArcGIS. Ese componente fue convertido en una webshell con una clave incrustada para limitar el acceso. Para asegurar la máxima persistencia, el código malicioso se incorporó en las copias de seguridad, lo que permitía mantener el acceso incluso después de restaurar todo el sistema.

Flax Typhoon tradicionalmente sigue una estrategia de presencia discreta en la infraestructura de las víctimas. El grupo utiliza activamente métodos LotL y la interacción directa a través de la línea de comandos, adaptando componentes legítimos del software a sus propios fines. En este caso, los atacantes lograron integrarse en el tráfico general de los servidores, evitando ser detectados por las herramientas de monitorización.

El ataque comenzó con la comprometida de la cuenta administrativa del portal ArcGIS, después de lo cual hackers chinos implantaron la extensión maliciosa JavaSimpleRESTSOE. Esta permitía ejecutar comandos en el servidor interno a través de una interfaz REST accesible desde el exterior. La presencia de una clave codificada de forma fija protegía a la webshell frente a interferencias externas e incluso frente a su descubrimiento accidental por parte de los administradores.

La webshell implantada se utilizó para el reconocimiento en la red y para crear un canal de comunicación persistente. Para ello se subió al servidor una copia ejecutable renombrada de SoftEther VPN bajo el nombre bridge.exe, colocada en el directorio del sistema System32. A continuación se creó un servicio llamado SysBridge que iniciaba ese archivo en cada arranque del sistema.

El proceso bridge.exe establecía conexiones HTTPS salientes con una dirección IP controlada por el grupo, a través del puerto 443. Esto permitía desplegar un túnel VPN oculto y conectarse a la red objetivo como si fuera propia, eludiendo filtros y mecanismos de seguimiento a nivel de enrutamiento.

Los atacantes también se centraron en comprometer las estaciones de trabajo del personal de TI para obtener sus credenciales y profundizar en la infraestructura. El análisis mostró que los atacantes ya tenían acceso a la cuenta administrativa y consiguieron restablecer su contraseña.

Según los especialistas de ReliaQuest, este incidente subraya el grave peligro que supone el uso de componentes del sistema de confianza como medios para eludir las defensas. Lo principal en estos casos no es solo detectar actividad sospechosa, sino aprender a reconocer cómo funciones legítimas pueden convertirse en herramientas de ataque.