
Google ha confirmado la existencia de una campaña de ciberataques dirigida por hackers chinos que amenaza al sector empresarial de Estados Unidos. Desde marzo de 2025, grupos como el denominado UNC5221 han logrado infiltrarse en redes de empresas estadounidenses con el malware de puerta trasera BRICKSTORM, centrando sus acciones en el robo de datos sensibles y propiedad intelectual.
El equipo de Inteligencia de Amenazas de Google advierte que los ataques afectan a sectores estratégicos, incluidos servicios legales, proveedores de software como servicio (SaaS), subcontratación de procesos de negocio (BPO) y tecnología, y destaca la gran dificultad para detectar estas actividades.
PUBLICIDAD
La campaña se atribuye principalmente a UNC5221, un grupo que actúa por su cuenta y no responde a otros actores chinos conocidos como Silk Typhoon (también llamado Hafnium). Mandiant, la división de ciberseguridad de Google, ha abordado estas intrusiones desde marzo de 2025. Según los informes, los atacantes han conseguido permanecer en los sistemas infiltrados durante casi 400 días, lo que refleja su persistencia y discreción. Diversos medios han publicado análisis de especialistas que resaltan el alcance y la sofisticación de la amenaza.

Los sectores bajo ataque no se limitan a una sola industria. El blanco en servicios legales apunta a información clave sobre comercio internacional y seguridad nacional de Estados Unidos. Los proveedores SaaS sirven como vía de acceso a los sistemas de sus clientes, mientras que las empresas tecnológicas resultan vulnerables por la cantidad de propiedad intelectual, incluido el código fuente, que puede revelar nuevas debilidades.
PUBLICIDAD
Mandiant también advierte que las cuentas de correo de desarrolladores, administradores y empleados clave han sido comprometidas, sobre todo cuando están relacionados con intereses económicos y de espionaje de la República Popular China.
Técnicas y herramientas empleadas
La campaña destaca por el uso de BRICKSTORM, un software malicioso que se instala en dispositivos y servidores donde el software tradicional de seguridad resulta ineficaz. El equipo de Inteligencia de Amenazas de Google ha detectado que los ataques afectan routers, cortafuegos, correos electrónicos y gestores de máquinas virtuales como VMware vCenter y ESXi.
PUBLICIDAD
Además, han explotado vulnerabilidades de día cero en dispositivos Ivanti desde 2023. Hay variantes de BRICKSTORM para Linux y BSD, y el malware ha sido adaptado para evadir la detección mediante técnicas como la ofuscación y temporizadores que retrasan la conexión con servidores de comando.

La persistencia de los atacantes se nota en su capacidad para borrar rastros electrónicos tras su descubrimiento, obligando a los equipos de ciberseguridad a recurrir a análisis de copias de seguridad para detectar BRICKSTORM. Mandiant también identificó el uso de BRICKSTEAL, un filtro malicioso que permite capturar credenciales en servidores Apache Tomcat, junto con credenciales robadas que facilitan el movimiento interno en las redes.
PUBLICIDAD
La evasión de controles habituales y la constante renovación de dominios de comando y control dificultan la detección con métodos convencionales.
Impacto y respuesta de ciberseguridad
El impacto de esta campaña es significativo. El equipo de Inteligencia de Amenazas de Google advierte que la información robada podría acelerar el desarrollo de nuevas vulnerabilidades y abrir la puerta a otros ataques. El robo de datos y propiedad intelectual compromete tanto la seguridad nacional como la competitividad de Estados Unidos. Expertos prevén que la campaña continúe al menos uno o dos años más, a medida que nuevas empresas detectan incidentes pasados en sus sistemas.
PUBLICIDAD

En respuesta, los equipos de ciberseguridad han adoptado nuevas herramientas y estrategias. Mandiant ofrece un escáner gratuito para detectar la actividad de BRICKSTORM, buscando patrones únicos en los sistemas afectados. Se recomienda centrar la detección en tácticas y procedimientos de los atacantes, más que en indicadores fijos, ante la capacidad de los hackers para modificar sus métodos.
Entre las acciones sugeridas figuran modernizar inventarios de dispositivos, monitorear registros de red y supervisar accesos no autorizados a sistemas críticos.
La opinión de los expertos indica que la amenaza persistirá. Charles Carmakal, director de tecnología de Mandiant Consulting, prevé que estos ciberataques seguirán saliendo a la luz en los próximos años, a medida que las empresas adopten nuevas herramientas de detección para descubrir tanto ataques actuales como pasados.
PUBLICIDAD
PUBLICIDAD
PUBLICIDAD
Últimas Noticias
Por qué saludamos varias veces a una persona en un día, según la inteligencia artificial
Gemini describe el fenómeno como una reacción instintiva alimentada por nuestra naturaleza social

Cómo usar Google Maps para planear tu visita a los estadios del Mundial
Es posible definir el punto de partida, elegir entre automóvil, transporte público, bicicleta o caminar, y visualizar las sugerencias de ruta junto con el tiempo estimado de llegada

Así es la cama inteligente de 2026 que entusiasma a las figuras de la tecnología
La principal característica de este desarrollo radica en su capacidad para regular la temperatura de la cama de forma automática y personalizada

¿Tus amigos usan mucho los chatbots de IA? Podrían ser más propensos a creer en mitos antivacunas
Personas con educación universitaria e ingresos altos tienden a buscar información médica en herramientas de IA

Nueva competencia para SpaceX: una startup planea lanzar 100.000 satélites para centros de datos en el espacio
La constelación espacial propuesta podría aportar 10 gigavatios de potencia informática, igualando la nueva capacidad eléctrica anual de Estados Unidos




