Google ha confirmado la existencia de una campaña de ciberataques dirigida por hackers chinos que amenaza al sector empresarial de Estados Unidos. Desde marzo de 2025, grupos como el denominado UNC5221 han logrado infiltrarse en redes de empresas estadounidenses con el malware de puerta trasera BRICKSTORM, centrando sus acciones en el robo de datos sensibles y propiedad intelectual.
El equipo de Inteligencia de Amenazas de Google advierte que los ataques afectan a sectores estratégicos, incluidos servicios legales, proveedores de software como servicio (SaaS), subcontratación de procesos de negocio (BPO) y tecnología, y destaca la gran dificultad para detectar estas actividades.
La campaña se atribuye principalmente a UNC5221, un grupo que actúa por su cuenta y no responde a otros actores chinos conocidos como Silk Typhoon (también llamado Hafnium). Mandiant, la división de ciberseguridad de Google, ha abordado estas intrusiones desde marzo de 2025. Según los informes, los atacantes han conseguido permanecer en los sistemas infiltrados durante casi 400 días, lo que refleja su persistencia y discreción. Diversos medios han publicado análisis de especialistas que resaltan el alcance y la sofisticación de la amenaza.
Los sectores bajo ataque no se limitan a una sola industria. El blanco en servicios legales apunta a información clave sobre comercio internacional y seguridad nacional de Estados Unidos. Los proveedores SaaS sirven como vía de acceso a los sistemas de sus clientes, mientras que las empresas tecnológicas resultan vulnerables por la cantidad de propiedad intelectual, incluido el código fuente, que puede revelar nuevas debilidades.
Mandiant también advierte que las cuentas de correo de desarrolladores, administradores y empleados clave han sido comprometidas, sobre todo cuando están relacionados con intereses económicos y de espionaje de la República Popular China.
Técnicas y herramientas empleadas
La campaña destaca por el uso de BRICKSTORM, un software malicioso que se instala en dispositivos y servidores donde el software tradicional de seguridad resulta ineficaz. El equipo de Inteligencia de Amenazas de Google ha detectado que los ataques afectan routers, cortafuegos, correos electrónicos y gestores de máquinas virtuales como VMware vCenter y ESXi.
Además, han explotado vulnerabilidades de día cero en dispositivos Ivanti desde 2023. Hay variantes de BRICKSTORM para Linux y BSD, y el malware ha sido adaptado para evadir la detección mediante técnicas como la ofuscación y temporizadores que retrasan la conexión con servidores de comando.
La persistencia de los atacantes se nota en su capacidad para borrar rastros electrónicos tras su descubrimiento, obligando a los equipos de ciberseguridad a recurrir a análisis de copias de seguridad para detectar BRICKSTORM. Mandiant también identificó el uso de BRICKSTEAL, un filtro malicioso que permite capturar credenciales en servidores Apache Tomcat, junto con credenciales robadas que facilitan el movimiento interno en las redes.
La evasión de controles habituales y la constante renovación de dominios de comando y control dificultan la detección con métodos convencionales.
Impacto y respuesta de ciberseguridad
El impacto de esta campaña es significativo. El equipo de Inteligencia de Amenazas de Google advierte que la información robada podría acelerar el desarrollo de nuevas vulnerabilidades y abrir la puerta a otros ataques. El robo de datos y propiedad intelectual compromete tanto la seguridad nacional como la competitividad de Estados Unidos. Expertos prevén que la campaña continúe al menos uno o dos años más, a medida que nuevas empresas detectan incidentes pasados en sus sistemas.
En respuesta, los equipos de ciberseguridad han adoptado nuevas herramientas y estrategias. Mandiant ofrece un escáner gratuito para detectar la actividad de BRICKSTORM, buscando patrones únicos en los sistemas afectados. Se recomienda centrar la detección en tácticas y procedimientos de los atacantes, más que en indicadores fijos, ante la capacidad de los hackers para modificar sus métodos.
Entre las acciones sugeridas figuran modernizar inventarios de dispositivos, monitorear registros de red y supervisar accesos no autorizados a sistemas críticos.
La opinión de los expertos indica que la amenaza persistirá. Charles Carmakal, director de tecnología de Mandiant Consulting, prevé que estos ciberataques seguirán saliendo a la luz en los próximos años, a medida que las empresas adopten nuevas herramientas de detección para descubrir tanto ataques actuales como pasados.
Últimas Noticias
España: lista de los 10 videos musicales que son tendencia en YouTube este día
Desde sus inicios en el año 2005, la plataforma de YouTube se ha colocado rápidamente en el gusto del público y se ha convertido en la biblioteca digital de videos más grande del mundo
Elon Musk anuncia el inicio del megaproyecto de Tesla para producir chips de inteligencia artificial en siete días
La nueva planta integrará fabricación, almacenamiento y empaquetado avanzado en un solo complejo
Meta podría despedir hasta el 20% de su planilla para compensar sus gastos masivos en IA
La compañía dirigida por Mark Zuckerberg evalúa despidos masivos ante el crecimiento de la inversión en centros de datos y adquisición de startups de inteligencia artificial
Sam Altman espera que la IA se vuelva un servicio público “como la electricidad o el agua”
El modelo impulsado por el director de OpenAI busca transformar la inteligencia artificial en un recurso accesible para instituciones y ciudadanos
Para qué sirve el nuevo botón de Gemini en los teléfonos Android
Con esta actualización, las principales funciones de Gemini están a un toque desde cualquier lugar del sistema operativo
