El grupo de cibercriminales patrocinado por el estado chino, conocido como Salt Typhoon, ha sido identificado utilizando un nuevo backdoor denominado GhostSpider en ataques dirigidos a proveedores de servicios de telecomunicaciones.
Según investigadores, Salt Typhoon ha enfocado sus operaciones en sectores críticos, incluyendo telecomunicaciones, gobierno, tecnología, consultoría, químicos y transporte, afectando organizaciones en Estados Unidos, Asia-Pacífico, Medio Oriente, Sudáfrica y otras regiones.
Campañas globales y tácticas
Este grupo, también conocido como Earth Estries, GhostEmperor o UNC2286, ha estado activo desde al menos 2019 y ha logrado comprometer infraestructuras críticas, incluidas empresas como Verizon, AT&T, Lumen Technologies y T-Mobile en EE.UU. Además, las autoridades confirmaron que Salt Typhoon interceptó comunicaciones privadas de funcionarios del gobierno estadounidense y obtuvo datos sobre solicitudes de intervención judicial.
Entre las campañas más destacadas de Salt Typhoon están:
- Alpha: Dirigida al gobierno taiwanés y empresas químicas mediante el uso de Demodex y SnappyBee.
- Beta: Una operación de espionaje a largo plazo contra redes de telecomunicaciones y gobiernos del sudeste asiático, empleando GhostSpider y Demodex.
El acceso inicial en estas campañas se obtiene explotando vulnerabilidades conocidas en sistemas como Ivanti Connect Secure VPN, Fortinet FortiClient EMS, Sophos Firewall y Microsoft Exchange (ProxyLogon).
GhostSpider: un backdoor diseñado para el espionaje prolongado
El malware GhostSpider es un backdoor modular altamente sigiloso, diseñado para operaciones de espionaje de largo plazo. Se carga en sistemas mediante DLL hijacking y se registra como un servicio usando la herramienta legítima regsvr32.exe.
Entre las funciones principales de GhostSpider se encuentran:
- Cargar módulos maliciosos directamente en memoria.
- Ejecutar tareas específicas bajo el control de los atacantes.
- Exfiltrar datos sensibles y manipular sistemas comprometidos.
- Actualizar su comportamiento para adaptarse a las defensas de la víctima.
- Mantener comunicación constante con servidores de comando y control (C2).
El uso de comunicaciones encriptadas y la residencia exclusiva en memoria hacen que este malware sea difícil de detectar por herramientas de seguridad tradicionales.
Herramientas adicionales en el arsenal de Salt Typhoon
Salt Typhoon también emplea otros malwares y herramientas compartidas con otros grupos APT chinos, como:
- SnappyBee: Backdoor modular para espionaje prolongado.
- Masol RAT: Backdoor multiplataforma enfocado en servidores Linux.
- Demodex: Rootkit para mantener persistencia.
- ShadowPad y SparrowDoor: Plataformas para el control de sistemas comprometidos.
- Herramientas como NeoReGeorg, frpc y Cobalt Strike para movimiento lateral, exfiltración y control remoto.
Recomendaciones de seguridad
Se insta a las organizaciones a implementar defensas de ciberseguridad en múltiples capas y a mantenerse vigilantes frente a las tácticas avanzadas de Salt Typhoon, considerado uno de los grupos APT más agresivos en la actualidad.
Para mitigar los riesgos, se recomienda:
- Aplicar parches a las vulnerabilidades conocidas.
- Monitorear actividades sospechosas en sistemas y redes.
- Implementar soluciones de detección y respuesta avanzada (EDR).
Este caso subraya la importancia de estar preparados frente a amenazas persistentes avanzadas que buscan comprometer sectores críticos.