Nube con sorpresa: cómo proveedores chinos de servicios en la nube alojaron por error 18.000 servidores de hackers
El mapa de la red clandestina es mucho más amplio de lo que pensábamos
Un análisis a gran escala de la infraestructura de actividad maliciosa en China detectó más de 18.000 servidores de comando alojados en las plataformas de 48 proveedores de alojamiento. Estos datos ofrecen una visión de cómo, dentro de un mismo ecosistema, coexisten el phishing, el software malicioso y las herramientas vinculadas a la actividad de grupos controlados por el Estado.
La mayor concentración de infraestructura maliciosa se registró en China Unicom: en tres meses se detectaron más de 9.000 nodos de comando en sus servidores. Le siguen Alibaba Cloud y Tencent con alrededor de 3.300 servidores en cada plataforma. Además, Tencent muestra un amplio abanico de actividades, incluidas miles de páginas de phishing y cientos de directorios abiertos, lo que indica un uso extensivo de sus servicios para ataques diversos.
Los servidores de comando representan aproximadamente el 84% de toda la infraestructura maliciosa, mientras que el phishing constituye el 13%. Los demás elementos —directorios abiertos e indicadores de compromiso accesibles públicamente— casi no afectan el panorama general. Esto subraya hasta qué punto los atacantes dependen de la infraestructura para la gestión del software malicioso y la automatización de ataques.
Familias de malware como Mozi, ARL, Cobalt Strike, Mirai y Vshell desempeñan un papel destacado en las campañas detectadas. La mayoría se usan activamente en botnets y herramientas de postexplotación. Mozi ocupa el primer lugar con más de 9.000 direcciones IP únicas de servidores de comando, lo que confirma el liderazgo de China en el ámbito de los botnets de IoT.
También resulta llamativo que un número significativo de ataques esté relacionado con infraestructuras de telecomunicaciones y académicas. La red educativa china CERNET, por ejemplo, fue utilizada en campañas que explotaban la vulnerabilidad React2Shell para propagar mineros y herramientas maliciosas de acceso remoto. Esto demuestra que las redes de alta velocidad de las instituciones científicas también están en el punto de mira de los atacantes.
La infraestructura gestionada por Tencent se utiliza especialmente de forma activa en campañas de phishing dirigidas, entre otros, a usuarios en India. En sus direcciones IP se alojaron sitios que intimidaban a propietarios de vehículos con demandas judiciales por impago de multas. Una campaña similar se observó también en Alibaba Cloud, donde se difundía el virus modular Valley RAT, camuflado como notificaciones de la agencia tributaria.
Además de las amenazas masivas, la infraestructura de los proveedores chinos se empleó en campañas dirigidas por grupos avanzados. Por ejemplo, en los servidores de Quanzhou se encontraron direcciones IP vinculadas a la operación BRONZE HIGHLAND. También se registró el uso de una vulnerabilidad en el sistema Gogs para desplegar acceso SSH inverso mediante Supershell C2.
El uso de un enfoque orientado a los equipos al analizar este tipo de amenazas permite rastrear patrones persistentes e identificar nodos a los que los atacantes regresan una y otra vez. Esto permite diseñar defensas no solo contra amenazas específicas, sino contra todo el ecosistema que sostiene la actividad maliciosa.