Sin hacer ruido: hackers chinos pasan meses en redes de telecomunicaciones ajenas sin atacar a nadie. ¿Con qué objetivo?
Contamos cómo funciona la agrupación más sigilosa de los últimos años.
La empresa Rapid7 informó recientemente sobre una prolongada operación de espionaje contra la infraestructura de telecomunicaciones, en la que los atacantes procuraban no hacer ruido ni apresurarse. En lugar de ataques ruidosos, el equipo observó un panorama mucho más inquietante — puntos de acceso ocultos que pueden pasar meses desapercibidos en las redes de los operadores y esperar una orden para activarse.
Según Rapid7, detrás del despliegue de las puertas traseras está el grupo Red Menshen, al que se vincula con China. El objetivo de la campaña se describe como vigilancia a largo plazo, incluida la monitorización de redes gubernamentales. No se trata de comprometer un único servidor o un solo contratista. La compromisión de las redes de telecomunicaciones da acceso al entorno por el que circulan las comunicaciones estatales, el funcionamiento de sectores críticos y los datos digitales de millones de abonados.
Los autores del informe señalan como herramienta clave la puerta trasera de Linux BPFdoor. A diferencia del software malicioso habitual, BPFdoor no abre puertos de red visibles ni emplea el canal de control tradicional. El código malicioso se oculta en lo profundo del sistema y solo se activa tras recibir una señal de red especialmente preparada. Este enfoque dificulta enormemente la detección incluso para defensores experimentados.
Rapid7 indica que BPFdoor dejó de ser un hallazgo aislado hace tiempo. Durante la investigación los especialistas observaron todo un esquema de asentamiento en el entorno de telecomunicaciones. Para la intrusión inicial, los atacantes, según se afirma, utilizaron servicios externos y dispositivos perimetrales, incluidos gateways VPN, enrutadores, cortafuegos y plataformas de virtualización. Una vez dentro de la red, emplearon CrossC2, TinyShell, registradores de teclas y utilidades para la obtención de credenciales.
El informe dedica especial atención a las nuevas variantes de BPFdoor. Según Rapid7, las muestras recientes son capaces de enmascarar las órdenes de control como tráfico HTTPS normal para atravesar proxies, balanceadores y otros mecanismos de protección. Además, el software malicioso utiliza ICMP como canal oculto para transmitir órdenes entre nodos infectados y se adapta al entorno de telecomunicaciones, imitando procesos legítimos en servidores HPE ProLiant y en plataformas de contenedores.
Los especialistas vinculan un peligro particular con la operación de BPFdoor junto a protocolos de telecomunicaciones como SCTP, que se usan en redes 4G y 5G. Esa situación abre la puerta al seguimiento de la ubicación de dispositivos, a la recolección de identificadores de abonados y a la vigilancia de comunicaciones sensibles. Rapid7 ya ha remitido la información sobre los hallazgos a las autoridades competentes y ha notificado a las organizaciones afectadas, además de publicar indicadores de compromiso y una guía para comprobar sistemas Linux en busca de signos de infección.