Un nuevo informe de inteligencia de amenazas ha puesto al descubierto una campaña de ciberespionaje activa y sofisticada dirigida contra el corazón de Camboya. El actor detrás de estos ataques ha sido identificado como Ink Dragon, un grupo de amenazas persistentes avanzadas (APT) vinculado a los intereses estatales de China.
Los Objetivos: Información y Control
Según la investigación, Ink Dragon no busca dinero, sino información estratégica. Sus objetivos principales han sido:
- Ministerios del Gobierno: Para obtener información sobre políticas internas, relaciones exteriores y acuerdos económicos.
- Sector de Telecomunicaciones: Este es el objetivo más crítico. Al infiltrarse en los proveedores de servicios de internet y telefonía, los atacantes pueden monitorear comunicaciones masivas, rastrear ubicaciones y interceptar mensajes de personas de interés sin necesidad de hackear sus dispositivos individuales.
El Arsenal de Ink Dragon
El grupo utiliza herramientas sofisticadas diseñadas para pasar desapercibidas durante largos periodos (meses o años). Se ha detectado el uso de malware personalizado, incluyendo variantes de PlugX y otras puertas traseras (RATs) modulares, que les permiten mantener acceso persistente, exfiltrar documentos sensibles y moverse lateralmente por las redes gubernamentales sin activar las alarmas tradicionales.
¿Por qué Camboya?
Aunque Camboya es visto tradicionalmente como un aliado cercano de China en la región, en el mundo del espionaje “confiar pero verificar” es la norma. China tiene intereses masivos en la región (iniciativa de la Franja y la Ruta, control del río Mekong, bases navales). Ink Dragon probablemente busca asegurar que los líderes camboyanos se mantengan alineados con los intereses de Pekín o anticipar cualquier cambio político.
La estrategia de “Río arriba” (Supply Chain)
Atacar a las compañías de Telecomunicaciones es una técnica clásica de los APTs chinos (como se vio en operaciones anteriores de grupos como Mustang Panda o APT41). En lugar de intentar infectar el laptop de un diplomático (que puede estar protegido), hackean a su proveedor de internet. Desde ahí, pueden ver todo su tráfico no cifrado y metadatos. Es el equivalente digital a pinchar los cables telefónicos de toda una ciudad.
¿Quién es Ink Dragon?
Es posible que este nombre sea una nueva designación para un subgrupo de actores conocidos o una operación específica de la inteligencia militar china. Su modus operandi (herramientas modulares, enfoque en el Sudeste Asiático, paciencia) encaja perfectamente con el perfil de los grupos patrocinados por el estado chino.
