Google confirma que hackers chinos están accediendo a empresas de Estados Unidos desde marzo de 2025

Google ha confirmado la existencia de una campaña de ciberataques dirigida por hackers chinos que amenaza al sector empresarial de Estados Unidos. Desde marzo de 2025, grupos como el denominado UNC5221 han logrado infiltrarse en redes de empresas estadounidenses con el malware de puerta trasera BRICKSTORM, centrando sus acciones en el robo de datos sensibles y propiedad intelectual.

El equipo de Inteligencia de Amenazas de Google advierte que los ataques afectan a sectores estratégicos, incluidos servicios legales, proveedores de software como servicio (SaaS), subcontratación de procesos de negocio (BPO) y tecnología, y destaca la gran dificultad para detectar estas actividades.

La campaña se atribuye principalmente a UNC5221, un grupo que actúa por su cuenta y no responde a otros actores chinos conocidos como Silk Typhoon (también llamado Hafnium). Mandiant, la división de ciberseguridad de Google, ha abordado estas intrusiones desde marzo de 2025. Según los informes, los atacantes han conseguido permanecer en los sistemas infiltrados durante casi 400 días, lo que refleja su persistencia y discreción. Diversos medios han publicado análisis de especialistas que resaltan el alcance y la sofisticación de la amenaza.

Los sectores bajo ataque no se limitan a una sola industria. El blanco en servicios legales apunta a información clave sobre comercio internacional y seguridad nacional de Estados Unidos. Los proveedores SaaS sirven como vía de acceso a los sistemas de sus clientes, mientras que las empresas tecnológicas resultan vulnerables por la cantidad de propiedad intelectual, incluido el código fuente, que puede revelar nuevas debilidades.

Mandiant también advierte que las cuentas de correo de desarrolladores, administradores y empleados clave han sido comprometidas, sobre todo cuando están relacionados con intereses económicos y de espionaje de la República Popular China.

Técnicas y herramientas empleadas

La campaña destaca por el uso de BRICKSTORM, un software malicioso que se instala en dispositivos y servidores donde el software tradicional de seguridad resulta ineficaz. El equipo de Inteligencia de Amenazas de Google ha detectado que los ataques afectan routers, cortafuegos, correos electrónicos y gestores de máquinas virtuales como VMware vCenter y ESXi.

Además, han explotado vulnerabilidades de día cero en dispositivos Ivanti desde 2023. Hay variantes de BRICKSTORM para Linux y BSD, y el malware ha sido adaptado para evadir la detección mediante técnicas como la ofuscación y temporizadores que retrasan la conexión con servidores de comando.

La persistencia de los atacantes se nota en su capacidad para borrar rastros electrónicos tras su descubrimiento, obligando a los equipos de ciberseguridad a recurrir a análisis de copias de seguridad para detectar BRICKSTORM. Mandiant también identificó el uso de BRICKSTEAL, un filtro malicioso que permite capturar credenciales en servidores Apache Tomcat, junto con credenciales robadas que facilitan el movimiento interno en las redes.

La evasión de controles habituales y la constante renovación de dominios de comando y control dificultan la detección con métodos convencionales.

Impacto y respuesta de ciberseguridad

El impacto de esta campaña es significativo. El equipo de Inteligencia de Amenazas de Google advierte que la información robada podría acelerar el desarrollo de nuevas vulnerabilidades y abrir la puerta a otros ataques. El robo de datos y propiedad intelectual compromete tanto la seguridad nacional como la competitividad de Estados Unidos. Expertos prevén que la campaña continúe al menos uno o dos años más, a medida que nuevas empresas detectan incidentes pasados en sus sistemas.

En respuesta, los equipos de ciberseguridad han adoptado nuevas herramientas y estrategias. Mandiant ofrece un escáner gratuito para detectar la actividad de BRICKSTORM, buscando patrones únicos en los sistemas afectados. Se recomienda centrar la detección en tácticas y procedimientos de los atacantes, más que en indicadores fijos, ante la capacidad de los hackers para modificar sus métodos.

Entre las acciones sugeridas figuran modernizar inventarios de dispositivos, monitorear registros de red y supervisar accesos no autorizados a sistemas críticos.

La opinión de los expertos indica que la amenaza persistirá. Charles Carmakal, director de tecnología de Mandiant Consulting, prevé que estos ciberataques seguirán saliendo a la luz en los próximos años, a medida que las empresas adopten nuevas herramientas de detección para descubrir tanto ataques actuales como pasados.