Tomar el control en 60 segundos (y quedarse seis meses): ciberspías convirtieron la aviación en un «día de puertas abiertas»

En los últimos dos años en la industria de defensa y en las tecnologías aeroespaciales se registra un aumento de intrusiones encubiertas en las que se aplican esquemas elaborados para eludir los sistemas de protección y se utiliza la infraestructura de contratistas. En ese contexto, el equipo de Mandiant analizó la nueva ola de operaciones del grupo UNC1549, que actúa con herramientas diseñadas específicamente para cada objetivo y con un conjunto de métodos orientados a una presencia prolongada en la red.

Según los analistas, el atacante inició la campaña a mediados de 2024, orientándose a organizaciones de los sectores aeronáutico y de defensa. Los primeros pasos siguieron una táctica doble: correos de phishing adaptados a los puestos de los destinatarios se empleaban para robar credenciales o para inducir la descarga de archivos maliciosos, mientras los atacantes entraban también a través de relaciones de confianza con contratistas. Ese enfoque permitía sortear las barreras externas y asentarse en la red mediante socios menos protegidos.

Tras el compromiso inicial, UNC1549 pasaba a desplazarse por los segmentos internos usando métodos no estándar. El grupo falsificaba dominios para campañas de correo dirigidas, recurría a formularios internos de solicitudes para obtener credenciales adicionales y desplegaba un conjunto de herramientas que incluía el componente modificado DCSYNCER.SLICK.

Mediante ese componente se realizaban consultas que imitaban la replicación de controladores de dominio y que permitían extraer hashes NTLM. Para una presencia sigilosa se instalaban puertas traseras que no mostraban actividad durante meses, y también se empleaban túneles SSH inversos que dejaban mínimos rastros en los sistemas comprometidos.

Gran parte de las operaciones se basó en el abuso de componentes de software ya instalados en las empresas. UNC1549 usó activamente mecanismos de suplantación del orden de búsqueda de bibliotecas, implantando CRASHPAD, GHOSTLINE, LIGHTRAIL, MINIBIKE, POLLBLEND, SIGHTGRAB y otras utilidades en los directorios de Citrix, VMware, NVIDIA, Microsoft y Fortigate. Cuando fue necesario, los atacantes instalaban esos productos por sí mismos para después sustituir bibliotecas del sistema. Las herramientas del grupo se caracterizaban por una alta variabilidad: en muchas redes se hallaban distintos ejemplares de una misma familia con hashes únicos.

Mandiant prestó atención particular a varios componentes maliciosos. TWOSTROKE establecía un canal de mando cifrado y podía ejecutar comandos, entre ellos descargar archivos, iniciar procesos, recopilar información del sistema e interactuar con directorios.

LIGHTRAIL era una herramienta de tunelización de red modificada que operaba sobre infraestructura en la nube y usaba conexiones WebSocket. DEEPROOT, diseñada para Linux, permitía ejecutar comandos de shell, trabajar con archivos y recolectar información del host. SIGHTGRAB tomaba capturas de pantalla y las guardaba en directorios secuenciales, mientras que TRUSTTRAP mostraba ventanas de acceso falsas para capturar credenciales.

A medida que la intrusión avanzaba, UNC1549 elevaba activamente sus privilegios. El grupo restablecía contraseñas de controladores de dominio, creaba cuentas de equipo falsas, empleaba esquemas de delegación de privilegios, realizaba Kerberoasting y solicitaba certificados mediante plantillas vulnerables de los servicios de certificados de Active Directory. También se registraron casos de interceptación de sesiones RDP tras identificar usuarios activos con el comando quser.exe.

Para el reconocimiento y el movimiento lateral, los atacantes recurrieron a utilidades legítimas para camuflar su actividad como trabajo administrativo. Usaron AD Explorer, scripts de PowerShell, comandos de Windows y herramientas de acceso remoto de terceros —como AWRC— y herramientas SCCM modificadas que permiten conectarse a sistemas sin notificar al usuario.

Mandiant señala que el objetivo principal de la campaña es la recopilación de material confidencial. UNC1549 buscaba documentación técnica, correspondencia, proyectos internos y datos necesarios para posteriores ataques contra otras empresas del sector. Los atacantes borraban rastros, eliminaban sus utilidades y limpiaban secciones clave de los sistemas, lo que dificultaba la reconstrucción de lo ocurrido. Según los especialistas, en el último año el grupo incrementó su sigilo, reforzando el control sobre cada paso dentro de las infraestructuras de las víctimas.