Google ha confirmado la existencia de una campaña de ciberataques dirigida por hackers chinos que amenaza al sector empresarial de Estados Unidos. Desde marzo de 2025, grupos como el denominado UNC5221 han logrado infiltrarse en redes de empresas estadounidenses con el malware de puerta trasera BRICKSTORM, centrando sus acciones en el robo de datos sensibles y propiedad intelectual.
El equipo de Inteligencia de Amenazas de Google advierte que los ataques afectan a sectores estratégicos, incluidos servicios legales, proveedores de software como servicio (SaaS), subcontratación de procesos de negocio (BPO) y tecnología, y destaca la gran dificultad para detectar estas actividades.
La campaña se atribuye principalmente a UNC5221, un grupo que actúa por su cuenta y no responde a otros actores chinos conocidos como Silk Typhoon (también llamado Hafnium). Mandiant, la división de ciberseguridad de Google, ha abordado estas intrusiones desde marzo de 2025. Según los informes, los atacantes han conseguido permanecer en los sistemas infiltrados durante casi 400 días, lo que refleja su persistencia y discreción. Diversos medios han publicado análisis de especialistas que resaltan el alcance y la sofisticación de la amenaza.
Los sectores bajo ataque no se limitan a una sola industria. El blanco en servicios legales apunta a información clave sobre comercio internacional y seguridad nacional de Estados Unidos. Los proveedores SaaS sirven como vía de acceso a los sistemas de sus clientes, mientras que las empresas tecnológicas resultan vulnerables por la cantidad de propiedad intelectual, incluido el código fuente, que puede revelar nuevas debilidades.
Mandiant también advierte que las cuentas de correo de desarrolladores, administradores y empleados clave han sido comprometidas, sobre todo cuando están relacionados con intereses económicos y de espionaje de la República Popular China.
Técnicas y herramientas empleadas
La campaña destaca por el uso de BRICKSTORM, un software malicioso que se instala en dispositivos y servidores donde el software tradicional de seguridad resulta ineficaz. El equipo de Inteligencia de Amenazas de Google ha detectado que los ataques afectan routers, cortafuegos, correos electrónicos y gestores de máquinas virtuales como VMware vCenter y ESXi.
Además, han explotado vulnerabilidades de día cero en dispositivos Ivanti desde 2023. Hay variantes de BRICKSTORM para Linux y BSD, y el malware ha sido adaptado para evadir la detección mediante técnicas como la ofuscación y temporizadores que retrasan la conexión con servidores de comando.
La persistencia de los atacantes se nota en su capacidad para borrar rastros electrónicos tras su descubrimiento, obligando a los equipos de ciberseguridad a recurrir a análisis de copias de seguridad para detectar BRICKSTORM. Mandiant también identificó el uso de BRICKSTEAL, un filtro malicioso que permite capturar credenciales en servidores Apache Tomcat, junto con credenciales robadas que facilitan el movimiento interno en las redes.
La evasión de controles habituales y la constante renovación de dominios de comando y control dificultan la detección con métodos convencionales.
Impacto y respuesta de ciberseguridad
El impacto de esta campaña es significativo. El equipo de Inteligencia de Amenazas de Google advierte que la información robada podría acelerar el desarrollo de nuevas vulnerabilidades y abrir la puerta a otros ataques. El robo de datos y propiedad intelectual compromete tanto la seguridad nacional como la competitividad de Estados Unidos. Expertos prevén que la campaña continúe al menos uno o dos años más, a medida que nuevas empresas detectan incidentes pasados en sus sistemas.
En respuesta, los equipos de ciberseguridad han adoptado nuevas herramientas y estrategias. Mandiant ofrece un escáner gratuito para detectar la actividad de BRICKSTORM, buscando patrones únicos en los sistemas afectados. Se recomienda centrar la detección en tácticas y procedimientos de los atacantes, más que en indicadores fijos, ante la capacidad de los hackers para modificar sus métodos.
Entre las acciones sugeridas figuran modernizar inventarios de dispositivos, monitorear registros de red y supervisar accesos no autorizados a sistemas críticos.
La opinión de los expertos indica que la amenaza persistirá. Charles Carmakal, director de tecnología de Mandiant Consulting, prevé que estos ciberataques seguirán saliendo a la luz en los próximos años, a medida que las empresas adopten nuevas herramientas de detección para descubrir tanto ataques actuales como pasados.
Últimas Noticias
NemoClaw, el nuevo proyecto de Nvidia para desafiar a OpenClaw en el desarrollo de agentes de IA
El sistema permitiría desplegar agentes de IA capaces de interactuar con aplicaciones, coordinar procesos y ejecutar tareas automatizadas
Fortnite sube el precio de los paVos por costos de mantenimiento del juego en marzo 2026
Por 8,99 euros, los usuarios ahora van a obtener 800 paVos, en vez de 1.000. Esta es la moneda digital del juego que permite comprar elementos
Anthropic advierte: la inteligencia artificial ya reemplaza tareas en la mitad de los empleos de oficina
Aunque no hay despidos masivos inmediatos, la reducción de oportunidades y la “puerta cerrada” a los más jóvenes marcan una transición silenciosa
Filtran seis juegos que llegarían a PlayStation Plus Extra y Premium en marzo
Persona 5 Royal sería uno de los principales añadidos al catálogo de la suscripción de Sony
La inteligencia artificial obliga a las grandes empresas de Estados Unidos a replantear cuántos empleados necesitan
El avance de la automatización en las principales compañías exige que los trabajadores adquieran conocimientos técnicos y capacidad para gestionar procesos complejos, ya que los puestos rutinarios pierden terreno. Adaptar el perfil profesional es clave para acceder a nuevas oportunidades laborales
