{"id":1199,"date":"2026-06-15T21:10:17","date_gmt":"2026-06-15T21:10:17","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/15\/google-expone-un-grupo-de-espionaje-chino-que-ha-estado-acechando-en-las-redes-sin-ser-detectado-desde-2023\/"},"modified":"2026-06-15T21:10:17","modified_gmt":"2026-06-15T21:10:17","slug":"google-expone-un-grupo-de-espionaje-chino-que-ha-estado-acechando-en-las-redes-sin-ser-detectado-desde-2023","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/15\/google-expone-un-grupo-de-espionaje-chino-que-ha-estado-acechando-en-las-redes-sin-ser-detectado-desde-2023\/","title":{"rendered":"Google expone un grupo de espionaje chino que ha estado acechando en las redes sin ser detectado desde 2023"},"content":{"rendered":"
\n

Los cazadores de amenazas de Google detectaron otro grupo de espionaje patrocinado por el estado chino que durante a\u00f1os se hab\u00eda infiltrado en sistemas pertenecientes a organizaciones gubernamentales y privadas para robar datos en el \u00e1mbito acad\u00e9mico, m\u00e9dico, militar, de ciberseguridad y de pol\u00edtica exterior. <\/p>\n

Google Threat Intelligence Group descubri\u00f3 el grupo de amenazas previamente desconocido UNC6508<\/a>que apunt\u00f3 a organizaciones en Estados Unidos y Canad\u00e1, a finales de 2025, pero su primer compromiso conocido se remonta a septiembre de 2023. <\/p>\n

La revelaci\u00f3n refleja un patr\u00f3n alarmante de grupos de espionaje chinos que abren puertas traseras en infraestructura cr\u00edtica para posicionarse previamente para posibles sabotajes, interceptar investigaciones y robar datos con implicaciones para la seguridad nacional. Estos grupos que trabajaban a instancias del gobierno de China, incluido el UNC6508, operaron en secreto durante a\u00f1os antes de que las autoridades o los investigadores descubrieran su actividad.<\/p>\n

\u00abNo conocemos el alcance total o el impacto de la campa\u00f1a\u00bb, dijo a CyberScoop Patrick Whitsell, ingeniero senior de seguridad de GTIG. Los investigadores dijeron que el grupo de amenazas irrumpi\u00f3 en una universidad de investigaci\u00f3n m\u00e9dica en septiembre de 2023, rob\u00f3 credenciales y comunicaciones y permaneci\u00f3 activo en los sistemas de la instituci\u00f3n hasta noviembre de 2025, cuando fue descubierto.<\/p>\n

Google dijo que confirm\u00f3 que hab\u00eda m\u00faltiples v\u00edctimas comprometidas con INFINITERED, una puerta trasera personalizada que el grupo de amenazas implement\u00f3 en redes espec\u00edficas para robar credenciales administrativas despu\u00e9s de explotar servidores REDCap (Research Electronic Data Capture) externos.<\/p>\n

Los investigadores a\u00fan no saben c\u00f3mo UNC6508 obtuvo acceso inicial a los servidores REDCap. Google dijo que el software de encuestas y bases de datos, que se cre\u00f3 en la Universidad de Vanderbilt y emiti\u00f3 m\u00faltiples parches para vulnerabilidades cr\u00edticas de ejecuci\u00f3n remota de c\u00f3digo a lo largo de 2023, se utiliza ampliamente en la comunidad de investigaci\u00f3n m\u00e9dica. <\/p>\n

\u00abDada la amplitud de los criterios de recopilaci\u00f3n de inteligencia del actor de amenazas y su capacidad para permanecer sin ser detectados dentro de las redes comprometidas durante m\u00e1s de un a\u00f1o, evaluamos que las v\u00edctimas conocidas probablemente representen s\u00f3lo una fracci\u00f3n de una campa\u00f1a m\u00e1s grande\u00bb, dijo Whitsell. \u00abTambi\u00e9n evaluamos que este actor de amenazas altamente capaz permanecer\u00e1 activo y seguir\u00e1 siendo una amenaza para las industrias de defensa, tecnolog\u00eda y medicina en el futuro previsible\u00bb.<\/p>\n

Google dijo que la campa\u00f1a estaba dirigida a proveedores cl\u00ednicos, centros m\u00e9dicos acad\u00e9micos e instituciones de salud militares de EE. UU., demostrando capacidades avanzadas de un grupo de amenazas que actualmente no se superpone con ning\u00fan otro grupo conocido p\u00fablicamente.<\/p>\n

El grupo de amenazas abus\u00f3 de las reglas de cumplimiento de dominio para robar datos, una t\u00e9cnica que no se basa en malware o herramientas de supervivencia, y enruta el tr\u00e1fico a trav\u00e9s de IP con sede en EE. UU. para mezclarse con el tr\u00e1fico leg\u00edtimo, dijeron los investigadores.<\/p>\n

\u00abTenemos alguna evidencia que sugiere que se trata de un gran grupo de amenazas con m\u00faltiples subequipos, pero esto no est\u00e1 confirmado\u00bb, dijo Whitsell.<\/p>\n

Al igual que otros grupos de espionaje patrocinados por el Estado de China previamente identificados, UNC6508 permanece activo.<\/p>\n

Google dijo que interrumpi\u00f3 parte de la infraestructura conocida de UNC6508 al deshabilitar una cuenta de Gmail que usaba para filtrar datos, notific\u00f3 a las organizaciones afectadas y ayud\u00f3 a remediar los compromisos antes de publicar una investigaci\u00f3n sobre las actividades de UNC6508.<\/p>\n

Whitsell dijo que varios casos de compromiso no confirmados siguen bajo investigaci\u00f3n.<\/p>\n