Google ha confirmado la existencia de una campaña de ciberataques dirigida por hackers chinos que amenaza al sector empresarial de Estados Unidos. Desde marzo de 2025, grupos como el denominado UNC5221 han logrado infiltrarse en redes de empresas estadounidenses con el malware de puerta trasera BRICKSTORM, centrando sus acciones en el robo de datos sensibles y propiedad intelectual.
El equipo de Inteligencia de Amenazas de Google advierte que los ataques afectan a sectores estratégicos, incluidos servicios legales, proveedores de software como servicio (SaaS), subcontratación de procesos de negocio (BPO) y tecnología, y destaca la gran dificultad para detectar estas actividades.
La campaña se atribuye principalmente a UNC5221, un grupo que actúa por su cuenta y no responde a otros actores chinos conocidos como Silk Typhoon (también llamado Hafnium). Mandiant, la división de ciberseguridad de Google, ha abordado estas intrusiones desde marzo de 2025. Según los informes, los atacantes han conseguido permanecer en los sistemas infiltrados durante casi 400 días, lo que refleja su persistencia y discreción. Diversos medios han publicado análisis de especialistas que resaltan el alcance y la sofisticación de la amenaza.
Los sectores bajo ataque no se limitan a una sola industria. El blanco en servicios legales apunta a información clave sobre comercio internacional y seguridad nacional de Estados Unidos. Los proveedores SaaS sirven como vía de acceso a los sistemas de sus clientes, mientras que las empresas tecnológicas resultan vulnerables por la cantidad de propiedad intelectual, incluido el código fuente, que puede revelar nuevas debilidades.
Mandiant también advierte que las cuentas de correo de desarrolladores, administradores y empleados clave han sido comprometidas, sobre todo cuando están relacionados con intereses económicos y de espionaje de la República Popular China.
Técnicas y herramientas empleadas
La campaña destaca por el uso de BRICKSTORM, un software malicioso que se instala en dispositivos y servidores donde el software tradicional de seguridad resulta ineficaz. El equipo de Inteligencia de Amenazas de Google ha detectado que los ataques afectan routers, cortafuegos, correos electrónicos y gestores de máquinas virtuales como VMware vCenter y ESXi.
Además, han explotado vulnerabilidades de día cero en dispositivos Ivanti desde 2023. Hay variantes de BRICKSTORM para Linux y BSD, y el malware ha sido adaptado para evadir la detección mediante técnicas como la ofuscación y temporizadores que retrasan la conexión con servidores de comando.
La persistencia de los atacantes se nota en su capacidad para borrar rastros electrónicos tras su descubrimiento, obligando a los equipos de ciberseguridad a recurrir a análisis de copias de seguridad para detectar BRICKSTORM. Mandiant también identificó el uso de BRICKSTEAL, un filtro malicioso que permite capturar credenciales en servidores Apache Tomcat, junto con credenciales robadas que facilitan el movimiento interno en las redes.
La evasión de controles habituales y la constante renovación de dominios de comando y control dificultan la detección con métodos convencionales.
Impacto y respuesta de ciberseguridad
El impacto de esta campaña es significativo. El equipo de Inteligencia de Amenazas de Google advierte que la información robada podría acelerar el desarrollo de nuevas vulnerabilidades y abrir la puerta a otros ataques. El robo de datos y propiedad intelectual compromete tanto la seguridad nacional como la competitividad de Estados Unidos. Expertos prevén que la campaña continúe al menos uno o dos años más, a medida que nuevas empresas detectan incidentes pasados en sus sistemas.
En respuesta, los equipos de ciberseguridad han adoptado nuevas herramientas y estrategias. Mandiant ofrece un escáner gratuito para detectar la actividad de BRICKSTORM, buscando patrones únicos en los sistemas afectados. Se recomienda centrar la detección en tácticas y procedimientos de los atacantes, más que en indicadores fijos, ante la capacidad de los hackers para modificar sus métodos.
Entre las acciones sugeridas figuran modernizar inventarios de dispositivos, monitorear registros de red y supervisar accesos no autorizados a sistemas críticos.
La opinión de los expertos indica que la amenaza persistirá. Charles Carmakal, director de tecnología de Mandiant Consulting, prevé que estos ciberataques seguirán saliendo a la luz en los próximos años, a medida que las empresas adopten nuevas herramientas de detección para descubrir tanto ataques actuales como pasados.
Últimas Noticias
Un robot humanoide da la bienvenida en la Casa Blanca: así funciona Figure 03
La máquina está diseñada para adaptarse a entornos domésticos y realizar tareas cotidianas como lavar la ropa, limpiar o fregar los platos de manera autónoma
El iPhone o Samsung no son los únicos: los equipos que ya tienen conexión directa con los satélites de Elon Musk
El acceso a internet satelital desde el celular ya es una posibilidad para millones de usuarios
¿Quién manda en la música? El dato de Spotify que revela el poder imparable de las mujeres en Colombia
Una de cada cinco reproducciones que se dan en Spotify Colombia es de canciones escritas por mujeres
¿Harto de los anuncios internos? El nuevo botón de YouTube Premium que ‘limpia’ los videos por ti
La plataforma incorpora una función llamada “Adelantar” que permite a los usuarios saltar automáticamente los segmentos
Netflix ya no funciona en tu celular: 3 trucos legales para seguir viendo tus series sin cambiar de teléfono
Si tienes un iPhone o iPad que se quedó estancado en versiones antiguas de iOS, puedes aprovechar la función ‘Mis Compras’ de la App Store
