Una campaña en curso y de largo plazo atribuida a un actor amenazante del nexo con China se ha incrustado en las redes de telecomunicaciones para realizar espionaje contra las redes gubernamentales.

La actividad de posicionamiento estratégico, que implica implantar y mantener mecanismos de acceso sigiloso dentro de entornos críticos, se ha atribuido a Hombre rojoun grupo de amenazas que también se rastrea como Earth Bluecrow, DecisiveArchitect y Red Dev 18. El grupo tiene un historial de atacar a proveedores de telecomunicaciones en Medio Oriente y Asia desde al menos 2021.

Rapid7 describió los mecanismos de acceso encubierto como «algunas de las células durmientes digitales más sigilosas» jamás encontradas en las redes de telecomunicaciones.

La campaña se caracteriza por el uso de implantes a nivel de kernel, puertas traseras pasivas, utilidades de recolección de credenciales y marcos de comando multiplataforma, lo que brinda al actor de amenazas la capacidad de habitar persistentemente redes de interés. Una de las herramientas más reconocidas de su arsenal de malware es una puerta trasera de Linux llamada BPFDoor.

«A diferencia del malware convencional, BPFdoor no expone puertos de escucha ni mantiene canales de comando y control visibles», Rapid7 Labs dicho en un informe compartido con The Hacker News. «En cambio, abusa de la funcionalidad Berkeley Packet Filter (BPF) para inspeccionar el tráfico de red directamente dentro del kernel, activándose sólo cuando recibe un paquete de activación específicamente diseñado».

«No hay un oyente persistente ni una baliza obvia. El resultado es una trampilla oculta incrustada dentro del propio sistema operativo».

Las cadenas de ataques comienzan cuando el actor de la amenaza apunta a la infraestructura conectada a Internet y a los servicios de borde expuestos, como dispositivos VPN, firewalls y plataformas web asociadas con Ivanti, Cisco, Juniper Networks, Fortinet, VMware, Palo Alto Networks y Apache Struts, para obtener acceso inicial.

Al lograr un punto de apoyo exitoso, los marcos de balizas compatibles con Linux, como CrossC2 se implementa para facilitar las actividades posteriores a la explotación. También se lanzan Sliver, TinyShell (un puerta trasera Unix), registradores de pulsaciones de teclas y utilidades de fuerza bruta para facilitar la recolección de credenciales y el movimiento lateral.

Sin embargo, BPFDoor es fundamental para las operaciones de Red Menshen. Presenta dos componentes distintos: uno es una puerta trasera pasiva implementada en el sistema Linux comprometido para inspeccionar el tráfico entrante en busca de un paquete «mágico» predefinido instalando un filtro BPF y generando un shell remoto al recibir dicho paquete. La otra parte integral del marco es un controlador administrado por el atacante y es responsable de enviar los paquetes con formato especial.

«El controlador también está diseñado para operar dentro del propio entorno de la víctima», explicó Rapid7. «En este modo, puede hacerse pasar por procesos legítimos del sistema y desencadenar implantes adicionales en los hosts internos enviando paquetes de activación o abriendo un oyente local para recibir conexiones de shell, lo que permite efectivamente el movimiento lateral controlado entre sistemas comprometidos».

Es más, se ha descubierto que ciertos artefactos BPFDoor son compatibles con el protocolo de transmisión de control de flujo (SCTP), permitiendo potencialmente al adversario monitorear protocolos nativos de telecomunicaciones y obtener visibilidad del comportamiento y la ubicación de los suscriptores, e incluso rastrear individuos de interés.

Estos aspectos demuestran que la funcionalidad de BPFdoor va más allá de una puerta trasera sigilosa de Linux. «BPFdoor funciona como una capa de acceso integrada dentro de la red troncal de telecomunicaciones, proporcionando visibilidad silenciosa y a largo plazo de las operaciones críticas de la red», añadió el proveedor de seguridad.

No termina ahí. Una variante de BPFdoor previamente no documentada incorpora cambios arquitectónicos para hacerlo más evasivo y pasar desapercibido durante períodos prolongados en entornos empresariales y de telecomunicaciones modernos. Estos incluyen ocultar el paquete desencadenante dentro del tráfico HTTPS aparentemente legítimo e introducir un mecanismo de análisis novedoso que garantiza que la cadena «9999» aparezca en un desplazamiento de bytes fijo dentro de la solicitud.

Este camuflaje, a su vez, permite que el paquete mágico permanezca oculto dentro del tráfico HTTPS y evite provocar cambios en la posición de los datos dentro de la solicitud, y permite que el implante siempre busque el marcador en un desplazamiento de bytes específico y, si está presente, lo interprete como el comando de activación.

La muestra recién descubierta también presenta un «mecanismo de comunicación liviano» que utiliza el Protocolo de mensajes de control de Internet (ICMP) para interactuar entre dos hosts infectados.

«Estos hallazgos reflejan una evolución más amplia en el arte del adversario», dijo Rapid7. «Los atacantes están incorporando implantes más profundamente en la pila informática, apuntando a los núcleos del sistema operativo y las plataformas de infraestructura en lugar de depender únicamente del malware del espacio del usuario».

«Los entornos de telecomunicaciones, que combinan sistemas básicos, capas de virtualización, dispositivos de alto rendimiento y componentes centrales 4G/5G en contenedores, proporcionan un terreno ideal para una persistencia silenciosa y a largo plazo. Al combinarse con servicios de hardware legítimos y tiempos de ejecución de contenedores, los implantes pueden evadir el monitoreo tradicional de puntos finales y permanecer sin ser detectados durante períodos prolongados».

Hace dos años, se reveló que piratas informáticos chinos habían comprometido al menos diez empresas de telecomunicaciones estadounidenses, dándoles amplio acceso a datos telefónicos que afectaban a casi todos los estadounidenses. Desde entonces, los funcionarios públicos encargados de responder a la campaña y reforzar las ciberdefensas del país han informado de un problema común.

Muchos de sus electores luchan por entender por qué los ataques –llevados a cabo por un grupo llamado Salt Typhoon– deberían figurar entre sus principales preocupaciones, o cómo impactan en su vida cotidiana.

A algunos funcionarios estatales y federales les preocupa que esta falta de interés esté privando a los formuladores de políticas de la presión pública necesaria para generar impulso para tomar medidas más contundentes para mejorar la ciberseguridad de las telecomunicaciones del país.

Mike Geraghty, CISO y director de la Célula de Comunicaciones y Ciberseguridad de Nueva Jersey, dijo que Nueva Jersey es el estado más densamente poblado del país, con una alta concentración de infraestructura crítica y una importante huella de telecomunicaciones. Por esa razón, una campaña como Salt Typhoon debería, en teoría, ser de gran interés para los residentes de Garden State.

«Sin embargo, si hablas con una persona en la calle en Nueva Jersey, te dirá a quién le importa que los chinos estén mirando, ya sabes, ¿a qué números llamo?». dijo el miércoles en la Cumbre de Ciberseguridad Local y Estatal de Billington. «Tiene un papel importante que desempeñar en mi trabajo, pero tratar de que la gente entienda lo que eso significa para Nueva Jersey es realmente difícil».

El Congreso no ha aprobado una legislación integral sobre privacidad en décadas. Mientras tanto, los ataques cibernéticos que exponen datos confidenciales están muy extendidos y las empresas estadounidenses recopilan y venden rutinariamente información personal de los clientes. Algunos funcionarios especulan que, en conjunto, estas tendencias han dejado a los estadounidenses insensibles al robo de datos y al uso de datos con fines de lucro, por lo que las filtraciones adicionales se sienten como una gota más en el océano.

Mischa Beckett, subdirectora de seguridad de la información y directora de inteligencia sobre amenazas cibernéticas de GDIT, dijo que el enfoque de Salt Typhoon en los datos de telecomunicaciones puede parecer una amenaza abstracta para muchos estadounidenses. Por el contrario, otras campañas de piratería chinas, como Volt Typhoon, sugieren daños potenciales a las plantas de agua y a las redes eléctricas que son más fáciles de detectar.

«Quizás sea un poco más fácil descartar una pérdida de datos… y seguir adelante, como desafortunado pero no gran cosa», dijo Beckett. «Creo que ese argumento es mucho más difícil de defender cuando hablamos de posicionamiento previo e infraestructura crítica, cosas que afectan nuestras vidas todos los días».

El año pasado, un exfuncionario de inteligencia de la Oficina del Director de Inteligencia Nacional dijo a CyberScoop que la falta de indignación del público tras los ataques del Salt Typhoon estaba frenando el impulso para una regulación o reformas más amplias de la ciberseguridad de las telecomunicaciones.

“No podemos aceptar este nivel de espionaje en nuestras redes”, dijo Laura Galante, quien dirigió el Centro de Integración de Inteligencia de Amenazas Cibernéticas bajo la administración Biden. “Si tuvieras 50 chinos [Ministry of State Security] espías o contratistas sentados dentro de una importante [telecom company’s] edificio, serían expulsados ​​y sería un esfuerzo a gran escala. Eso es a grandes rasgos lo que ha sucedido, pero el acceso fue digital”.

Un actor de amenazas persistentes avanzadas (APT) vinculado a China ha estado apuntando a infraestructuras de telecomunicaciones críticas en América del Sur desde 2024, apuntando a sistemas Windows y Linux y dispositivos de borde con tres implantes diferentes.

La actividad está siendo rastreado por Cisco Talos bajo el apodo UAT-9244describiéndolo como estrechamente asociado con otro grupo conocido como FamousSparrow.

Vale la pena señalar que se considera que FamousSparrow comparte superposiciones tácticas con Salt Typhoon, un grupo de espionaje del nexo con China conocido por apuntar a proveedores de servicios de telecomunicaciones. A pesar de la huella similar entre UAT-9244 y Salt Typhoon, no hay evidencia concluyente que vincule a los dos grupos.

En la campaña analizada por la empresa de ciberseguridad, se descubrió que las cadenas de ataque distribuyen tres implantes previamente no documentados: TernDoor dirigido a Windows, PeerTime (también conocido como Angrypeer) dirigido a Linux y BruteEntry, que se instala en dispositivos de borde de red.

Se desconoce el método de acceso inicial exacto utilizado en los ataques, aunque el adversario se ha dirigido previamente a sistemas que ejecutan versiones obsoletas de Windows Server y Microsoft Exchange Server para lanzar shells web para actividades posteriores.

TernDoor se implementa mediante carga lateral de DLL, aprovechando el ejecutable legítimo «wsprint.exe» para iniciar una DLL maliciosa («BugSplatRc64.dll») que descifra y ejecuta la carga útil final en la memoria. Se dice que UAT-9244 ha utilizado la puerta trasera, una variante de Crowdoor (en sí misma una variante de SparrowDoor), desde al menos noviembre de 2024.

Establece persistencia en el host mediante una tarea programada o la clave Ejecutar registro. También presenta diferencias con CrowDoor al utilizar un conjunto dispar de códigos de comando e incorporar un controlador de Windows para suspender, reanudar y finalizar procesos. Además, solo admite un modificador de línea de comandos («-u») para desinstalarse del host y eliminar todos los artefactos asociados.

Una vez iniciado, ejecuta una verificación para asegurarse de que se haya inyectado en «msiexec.exe», después de lo cual decodifica una configuración para extraer los parámetros de comando y control (C2). Posteriormente, establece comunicación con el servidor C2, lo que le permite crear procesos, ejecutar comandos arbitrarios, leer/escribir archivos, recopilar información del sistema e implementar el controlador para ocultar componentes maliciosos y administrar procesos.

Un análisis más detallado de la infraestructura del UAT-9244 ha llevado al descubrimiento de una puerta trasera de igual a igual (P2P) de Linux denominada PeerTime, que está compilada para varias arquitecturas (es decir, ARM, AARCH, PPC y MIPS) para infectar una variedad de sistemas integrados. La puerta trasera ELF, junto con un binario de instrumento, se implementa mediante un script de shell.

«El binario Instrumentor ELF comprobará la presencia de Docker en el host comprometido utilizando los comandos docker y docker –q», dijeron los investigadores de Talos Asheer Malhotra y Brandon White. «Si se encuentra Docker, se ejecuta el cargador PeerTime. El instrumento consta de cadenas de depuración en chino simplificado, lo que indica que es un binario personalizado creado e implementado por actores de amenazas de habla china».

El objetivo principal del cargador es descifrar y descomprimir la carga útil final de PeerTime y ejecutarla directamente en la memoria. PeerTime viene en dos versiones: una versión escrita en C/C++ y una variante más nueva programada en Rust. Además de tener la capacidad de cambiarse el nombre a sí mismo como un proceso inofensivo para eludir la detección, la puerta trasera emplea el protocolo BitTorrent para obtener información C2, descargar archivos de sus pares y ejecutarlos en el sistema comprometido.

También se encuentran en los servidores del actor de amenazas un conjunto de scripts de shell y cargas útiles, incluido un escáner de fuerza bruta con nombre en código BruteEntry que se instala en dispositivos perimetrales para convertirlos en nodos proxy de escaneo masivo dentro de una Operational Relay Box (ORB) capaz de forzar servidores Postgres, SSH y Tomcat por fuerza bruta.

Esto se logra mediante un script de shell que coloca dos componentes basados ​​en Golang: un orquestador que entrega BruteEntry, que luego contacta a un servidor C2 para obtener la lista de direcciones IP a las que se dirigirán los ataques de fuerza bruta. En última instancia, la puerta trasera informa los inicios de sesión exitosos al servidor C2.

«El ‘éxito’ indica si la fuerza bruta tuvo éxito (verdadero o falso), y las ‘notas’ proporcionan información específica sobre si la fuerza bruta tuvo éxito», dijo Talos. «Si el inicio de sesión falló, la nota dice ‘Se intentaron todas las credenciales’».