No es un fallo, es una "feature" del "tío Xi": nueva puerta trasera china en redes de EE. UU. no se arregla con un reinicio y roba datos sin parar

Espías cibernéticos chinos pasaron años de manera indetectable en las redes de organizaciones de importancia crítica, infectando la infraestructura con malware sofisticado y robando datos, advierten agencias gubernamentales y expertos privados. Según el aviso conjunto de CISA, la NSA y el Centro Canadiense de Ciberseguridad, al menos 8 organismos estatales y empresas de TI fueron víctimas de puerta trasera Brickstorm, que opera en entornos Linux, VMware y Windows. Sobre la magnitud del problema también habló el representante de CISA, Nick Andersen: según él, probablemente haya más víctimas reales, y el propio Brickstorm es una plataforma «excepcionalmente avanzada» que permite a los operadores chinos afianzarse en redes durante años, preparando el terreno para el sabotaje.

En uno de los episodios que investigó CISA, los atacantes obtuvieron acceso a la red interna en abril de 2024, desplegaron Brickstorm en un servidor VMware vCenter y mantuvieron el acceso al menos hasta principios de septiembre. Durante ese tiempo lograron llegar a controladores de dominio y al servidor ADFS, robando claves criptográficas. Google Threat Intelligence, que fue la primera en describir Brickstorm en otoño, insta a todas las organizaciones a escanear la infraestructura antes de desplegarla. Según los analistas, decenas de empresas en Estados Unidos ya han sido afectadas por esta campaña, y los atacantes continúan perfeccionando sus herramientas.

Mandiant relaciona los ataques con el grupo UNC5221 y registra compromisos en distintos sectores: desde servicios jurídicos y proveedores de SaaS hasta empresas tecnológicas. Los especialistas señalan que la intrusión de dispositivos perimetrales y el movimiento hacia vCenter se han convertido en tácticas típicas de los atacantes, dirigidas también a víctimas en la cadena descendente. CrowdStrike, en un informe separado, atribuye Brickstorm al grupo Warp Panda, activo al menos desde 2022, y describe vectores de ataque similares, incluido el acceso a entornos VMware en empresas de Estados Unidos y actividad de inteligencia en interés del gobierno de China.

Según CrowdStrike, en varios casos Warp Panda desplegó además en servidores ESXi y en máquinas virtuales implantes escritos en Go hasta entonces desconocidos, llamados Junction y GuestConduit, y también preparó datos sensibles para su exfiltración. Algunos incidentes afectaron también a la nube Microsoft Azure: los atacantes obtenían tokens de sesión, tunelizaban el tráfico a través de Brickstorm y descargaban material confidencial desde OneDrive, SharePoint y Exchange. Incluso lograban registrar nuevos dispositivos MFA, asegurando una persistencia oculta y duradera en entornos de invitado.

Los especialistas de Palo Alto Networks confirman la continuidad y la profundidad de la penetración de estos grupos. Según los analistas de Unit 42, los operadores chinos usan archivos únicos y puertas traseras propias para cada intrusión, lo que hace que su detección sea extremadamente difícil. La actividad prolongada y oculta en las redes complica evaluar el daño real y permite a los atacantes planear operaciones a gran escala mucho antes de que se descubra su presencia.