La ciencia exige sacrificios; si es posible, con acceso a datos clasificados — ChainedShark y sus peculiares intereses científicos
El grupo ChainedShark robó durante más de un año datos sobre tecnologías marítimas chinas.
En 2025, los especialistas del laboratorio de ciberinteligencia de la empresa NSFOCUS informaron sobre un nuevo grupo de hackers que durante casi un año estuvo cazando en silencio datos científicos de universidades chinas y centros de investigación. Al grupo lo llamaron ChainedShark. Sus ataques no fueron intentos aislados de intrusión, sino una campaña planificada con objetivos claros y una base técnica compleja.
Sin datos de los investigadores, la actividad de ChainedShark comenzó a más tardar en mayo de 2024. El interés principal de los atacantes se centró en la comunidad científica de China. Fueron objetivo el personal de universidades y organizaciones científicas que trabajan en relaciones internacionales y en tecnologías marinas. Los atacantes trataron de obtener materiales confidenciales y análisis vinculados con la diplomacia y los desarrollos en el ámbito marítimo.
Un aspecto que llamó la atención fue el nivel de ingeniería social. Los atacantes enviaban correos en buen chino y los disfrazaban con motivos habituales del mundo académico. Usaron invitaciones a conferencias y propuestas para publicar artículos científicos. Esos mensajes parecían verídicos y no despertaban sospechas, por lo que los destinatarios abrían los adjuntos y seguían los enlaces con más frecuencia.
En el plano técnico, las operaciones recordaban el trabajo de un grupo cibernético estatal. En los ataques se explotaron vulnerabilidades conocidas para las que ya existían parches, pero no todos los objetivos los habían instalado. También se empleó malware propio con un esquema de ejecución y ocultación elaborado. Las herramientas buscaban dificultar el análisis y entorpecer la investigación tras la infección.
La primera ola de ataques detectada en mayo de 2024 resultó ser la más compleja en su estructura. En ese momento se empleó un módulo malicioso desarrollado a medida llamado LinkedShell. Se caracterizaba por una configuración muy adaptada a los objetivos y por su capacidad para ocultar rastros de actividad en el sistema. Esto indica que al inicio de la campaña el grupo ya contaba con un importante trabajo de desarrollo propio. Más tarde, entre agosto y noviembre de 2024, la táctica cambió. Los atacantes comenzaron a usar con más frecuencia la vulnerabilidad GrimResource ya divulgada públicamente en junio de ese mismo año. Gracias a ello, la cadena de infección se simplificó y la preparación de los ataques requirió menos recursos.