Emperador fantasma (o GhostEmperor), Salt Typhoon, FamousSparrow, Operador Panda, RedMike, UNC5807… Con todos o algunos de estos nombres vienen siendo detectados en Occidente ataques que las agencias de inteligencia occidentales atribuyen a un solo grupo de hackers chinos. Se llama Earth Estries, y es una de las últimas y más severas amenazas en materia de ciberseguridad que mantienen en alerta a los servicios de contraespionaje.
La misión de la red es colocarse en el interior de grandes routers de empresas de telecomunicaciones para acceder desde ahí a redes y contenidos de sus clientes, entre ellos los contactos de entidades gubernamentales, militares, de transporte y de almacenamiento. Entre sus trofeos hay, incluso, escuchas policiales realizadas en Estados Unidos y de las que han podido obtener copia.
Se trata de un actor de lo que el CNI, en un informe del Centro Criptológico Nacional (CCN) que adelantó este diario en diciembre pasado, califica de “ecosistema maduro de ciberespionaje” con el que cuenta China.
Alerta americana
El pasado día 27, bajo el título “Contrarrestar a los actores patrocinados por el Estado chino”, la Agencia de Ciberdefensa de Estados Unidos (CISA) publicó un informe que tilda de “conjunto” con servicios de inteligencia de otros 13 países. Entre ellos está el CNI, y también el BfV alemán (o Agencia Federal de Protección de la constitución), el SUPO finés, la AISE italiana, el ente de contraespionaje polaco AW o el servicio de contrainteligencia militar holandés MIVD.
El informe, además de señalar a firmas chinas como Sichuan Juxinhe Network Technology, lanza sospechas sobre “múltiples entidades con sede en China” como proveedores de “productos y servicios relacionados con la cibernética a los servicios de inteligencia de China, incluidas múltiples unidades del Ejército Popular de Liberación y el Ministerio de Seguridad del Estado”, explica la CISA, para “proporcionar a los servicios de inteligencia chinos la capacidad de identificar y rastrear las comunicaciones y movimientos de sus objetivos alrededor del mundo”.
Pasando por encima de sus diferentes (y algunas épicas) denominaciones, los expertos han pasado a llamar a Earth Estries como una APT. Son palabras mayores en materia de ciberseguridad, las siglas en inglés de Amenaza Persistente Avanzada.
Avisos españoles
Su forma de operar consiste en entrar, a veces legalmente, en los sistemas de sus víctimas utilizando vulnerabilidades del software, algunas de ellas más que conocidas. Una vez dentro, cambian el router para llevar a cabo un ataque “persistente y a largo plazo”, ha advertido a agencia americana y, con ella, las otras agencias occidentales, incluido el CNI.
No ha trascendido la composición de esta APT, cuántos hackers son y cómo es su vinculación con el gobierno chino, salvo por su relación con tres empresas señaladas. Las fuentes consultadas en España no comentan actividades del grupo contra routers en este país.
La CISA señala que están actuando desde 2021. En España ya advirtió el INCIBE (Instituto Nacional de Ciberseguridad) de que “grupos cibercriminales chinos atacan infraestructuras de telecomunicaciones comerciales”. Así se tituló un aviso de esa entidad el pasado 19 de noviembre. En él se citaban como víctimas a los proveedores de internet AT&T, Verizon y Lumen Technologies.
Un mes después, el CCN publicó su informe anual de Ciberamenazas y Tendencias, basado en datos de 2023. El dosier incluyó expresamente a China entre actores estatales que suponen una amenaza, como poseedora de «un ecosistema de ciberespionaje maduro» con contratistas de ciberseguridad aparentemente independientes, pero a sueldo del gobierno chino.
El CCN, dependiente del CNI, tiene detectado «un mayor foco [chino] en entidades gubernamentales y diplomáticas europeas a partir de la guerra de Ucrania«, e incluía a España en un mapa como uno de los países europeos ciberatacados, si bien con menos intensidad que Reino Unido, Francia e Italia.
En aquella ocasión señalaron a un «actor cibernético» chino, Mustang Panda, ágil, con gran capacidad de adaptación de sus tácticas, que ha ampliado su ámbito de actuación del área asiática para pasar a interesarse en organizaciones europeas.
Los principales ámbitos de interés del ciberespionaje chino, según el CNI, son las instituciones gubernamentales, la firmas de tecnología de la información y telecomunicaciones, las agencias diplomáticas, de sanidad, de defensa, financieras, educativas e industriales, por este orden.
Expertos
El CNI, como otras agencias europeas, basa parte de su información en investigaciones de una fuente muy consultada por las agencias occidentales: Lab52. Esta institución de expertos en ciberseguridad -equipo de inteligencia de la firma privada S2 Group- ha alertado de una nueva «puerta trasera» mejorada por APT chinas. De nuevo buscan entrar en los sistemas y quedarse dentro a largo plazo.
Las investigaciones de Lab52 también señalan a Earth Estries, cuyos hackers chinos no necesariamente han de estar radicados en territorio de la República Popular. El aviso es del pasado 18 de julio.
La nueva táctica del ciberespionaje chino “permite al atacante realizar diversas acciones en el equipo de la víctima, como crear y modificar archivos, listar directorios o ejecutar código adicional, entre otras”, advierte el comunicado de Lab52. Lo hacen con una herramienta conocida en el mundo de la ciberseguridad: Snappybee.
Que se haya podido constatar y se haya hecho público, hasta el momento Earth Estries está tras intrusiones cibernéticas en 20 entidades de Estados Unidos, Asia-Pacífico, Sudamérica, Sudáfrica y Oriente Medio.
Suscríbete para seguir leyendo
