Flota fantasma: cómo cientos de miles de “falsificaciones” de Hong Kong ayudaron a los piratas informáticos a cegar sistemas de seguridad
Analistas detectan un patrón alarmante en el funcionamiento de nodos remotos
Recientemente, en la telemetría de GreyNoise surgió un sesgo bastante inusual: casi la mitad de todas las nuevas direcciones IP detectadas en escaneos masivos resultaron estar geolocalizadas en Hong Kong. A primera vista la imagen parecía un repentino aumento de actividad, pero al analizarla se descubrió que tras las cifras llamativas había, en su mayoría, vacío. La gran mayoría de las direcciones no confirmó su existencia mediante una conexión de red completa.
Según GreyNoise, entre el 12 y el 18 de marzo el sistema registró 242 666 nuevas direcciones IP escaneadoras cuya geolocalización apuntaba a Hong Kong. Casi el 99,7% de ese conjunto ni siquiera completó una conexión TCP básica. La empresa denomina a esas direcciones «flota fantasma»: el tráfico dejó rastro en las observaciones, pero no permitió confirmar que los paquetes provinieran realmente de esas fuentes. No hubo carga útil, no hubo intentos de explotación y las firmas de ataque no se activaron.
El principal riesgo, según GreyNoise, no está tanto en la aparición de tal conjunto como en cómo ese ruido puede distorsionar los sistemas de detección. Si las plataformas de defensa no separan las direcciones no verificadas de los escáneres reales, a los conjuntos de datos entran cientos de miles de IP dudosas. En ese contexto es mucho más fácil pasar por alto actividad realmente peligrosa.
La mayor contribución a la «flota fantasma» la hizo GNET INC. con 143 340 nuevas direcciones, pero ninguna de ellas fue catalogada por GreyNoise como maliciosa. Casi todo el tráfico de GNET INC. se limitó a conexiones no completadas. Una imagen similar la observó la empresa en varios otros proveedores del mismo clúster.
La señal real, según la estimación de GreyNoise, provenía de UCLOUD. El proveedor tenía únicamente 1 746 direcciones IP, pero el 38% de ellas entraron en la categoría de maliciosas. El tráfico de UCLOUD alcanzó sensores en más de 20 países e incluyó el escaneo de servicios MySQL, SSH, SMB y RDP. En una semana, el volumen de sesiones de UCLOUD aumentó un 472% —de 9,7 millones a 55,4 millones. Con ello, el proveedor superó a DigitalOcean y se situó en primer lugar por volumen de sesiones en los datos de GreyNoise.
Al mismo tiempo cambió el panorama general del escaneo. Uno de los ASN más grandes, detectado de forma activa la semana anterior, desapareció por completo de las observaciones. El tráfico desde direcciones geolocalizadas en Australia cayó un 72%, y la nueva actividad se desplazó hacia Hong Kong, Polonia y Alemania. Una verificación adicional con Censys y VirusTotal mostró indicios de despliegue de infraestructura siguiendo un patrón: configuraciones de servidor idénticas y ajustes de puertos no estándar repetidos en distintas subredes.
GreyNoise no vincula el repunte con un grupo concreto ni con un Estado y subraya por separado que la geolocalización de una IP refleja el lugar de registro de las direcciones, no la ubicación de los operadores. Por ahora la conclusión es prudente: el mercado de escaneo se reconfiguró de forma abrupta en una semana, y el gigantesco conjunto de direcciones de Hong Kong resultó ser más bien ruido, tras el cual es fácil no percibir una amenaza real.