Indicios hallados apuntan a una preparación meticulosa de un ataque a través de la cadena de suministro.
En medio del aumento de la actividad de grupos cibernéticos chinos en el territorio de la Federación de Rusia surgió una noticia preocupante. Según un informe reciente de Symantec, el colectivo APT Jewelbug se infiltró en la red de un proveedor ruso de TI no identificado y llevó a cabo allí una operación prolongada con indicios de preparación de un ataque a través de la cadena de suministro. Las huellas encontradas apuntan a acceso a repositorios de código fuente y a sistemas de compilación, así como a la extracción de datos mediante la plataforma en la nube Yandex Cloud — una elección que, según los autores del informe, podría deberse al deseo de no despertar sospechas entre los clientes rusos.
El ataque se realizó usando técnicas «living off the land» — renombrado de Microsoft Console Debugger (cdb.exe) a «7zup.exe», volcado de credenciales, creación de tareas schtasks para la persistencia y borrado de los registros de eventos de Windows. En los equipos objetivo se detectaron muestras llamadas «yandex2.exe» empleadas para la exfiltración. La cronología indica la presencia de los atacantes de enero a mayo de 2025, lo que permite describir la campaña como dirigida y paciente.
Paralelamente, el equipo de Symantec observó intervenciones de Jewelbug en infraestructuras de otras regiones: en Sudamérica los atacantes desplegaron un nuevo backdoor que usa Microsoft Graph API y OneDrive como servidores de comando, y una víctima en Taiwán fue infectada con ShadowPad y sufrió la explotación de controladores vulnerables mediante la técnica BYOVD. En el arsenal del grupo también se registran herramientas como Finaldraft, Pathloader y Guidloader, canales de red a través de DNS e ICMP, y para enmascarar el tráfico se emplearon túneles públicos y soluciones proxy.
Teniendo en cuenta que hasta ahora la mayoría de las operaciones de este tipo de grupos chinos se habían registrado en Asia y América Latina, la intervención en la infraestructura rusa resulta notable: refleja un desplazamiento de las zonas de interés y subraya el riesgo para los clientes de los proveedores de software.
Los autores del informe recomiendan verificar la integridad de los sistemas de compilación, limitar la ejecución de utilidades de depuración y auditar las conexiones externas a la nube, para minimizar la probabilidad de una compromisión a gran escala a través de actualizaciones y distribución de software.