APT chinos abusan de Google Drive y servicios de Windows para espionaje gubernamental sigiloso

Sigilo patrocinado por el estado: Cómo los APT chinos ocultan malware a plena vista usando servicios legítimos en la nube

Una investigación reciente de expertos en ciberseguridad ha revelado una campaña de espionaje sofisticada y continua atribuida a actores chinos patrocinados por el estado. Esta operación destaca por su innovador abuso de plataformas ubicuas y confiables—específicamente Google Drive y servicios nativos de Windows—para desplegar malware contra objetivos gubernamentales y de telecomunicaciones de alto valor en Sudamérica y otros continentes. La campaña ejemplifica un cambio peligroso en las tácticas de las amenazas persistentes avanzadas (APT), donde priorizan mimetizarse con el tráfico legítimo normal sobre el uso de exploits de día cero complejos.

La cadena de ataque comienza con un señuelo clásico de ingeniería social, a menudo un correo de phishing que contiene un documento o enlace malicioso. Una vez que se logra el compromiso inicial, los atacantes despliegan un sistema de carga útil multi-etapa diseñado para el máximo sigilo. El malware de primera etapa, identificado en algunos informes como Brumblebee o BruteEntry, actúa como un cargador. Su función principal es recuperar y ejecutar la siguiente fase del ataque desde un servidor remoto. Lo que hace que esta campaña sea particularmente insidiosa es el uso frecuente de servicios legítimos de almacenamiento en la nube, especialmente Google Drive, como conducto para estas cargas útiles secundarias o instrucciones de comando y control (C2). Al utilizar un dominio confiable como drive.google.com, el tráfico malicioso evita fácilmente los filtros de seguridad de red que podrían bloquear conexiones a direcciones IP sospechosas conocidas o desconocidas.

Tras el cargador inicial, los atacantes despliegan puertas traseras más avanzadas para establecer persistencia y realizar espionaje. Los investigadores han identificado dos familias de malware clave en esta campaña: TernDoor y PeerTime. TernDoor es una puerta trasera con múltiples funciones capaz de ejecutar comandos de shell, subir y descargar archivos, y realizar reconocimiento en el sistema infectado. PeerTime cumple un propósito similar, actuando a menudo como una puerta trasera secundaria o complementaria para garantizar redundancia en el acceso. Ambas están diseñadas para comunicarse con servidores C2, pero a menudo lo hacen a través de nodos intermedios o utilizando la mímica de protocolos para parecer tráfico web inocuo.

La verdadera seña de identidad del sigilo de esta campaña es su integración profunda con el propio sistema operativo Windows. El malware emplea técnicas sofisticadas de "living-off-the-land" (LotL), ocultando su ejecución dentro de procesos legítimos de Windows. Un método común implica la carga lateral de DLLs maliciosas a través de msiexec.exe, el servicio de instalación de Windows. Debido a que msiexec.exe es un componente firmado y confiable de Microsoft que ejecuta rutinariamente código para instalaciones de software, es menos probable que las herramientas de seguridad marquen su actividad como maliciosa. Esto permite que la puerta trasera se ejecute con privilegios elevados y permanezca bajo el radar de las soluciones de detección y respuesta de endpoints (EDR) que se centran en anomalías de procesos.

El targeting es estratégico y se alinea con las prioridades de inteligencia del estado chino a largo plazo. Las empresas de telecomunicaciones son un objetivo principal, ya que proporcionan acceso a grandes volúmenes de metadatos de comunicaciones, información sensible de clientes y el potencial para la interceptación de redes. Las agencias gubernamentales, particularmente las involucradas en política exterior, defensa o planificación económica, son igualmente buscadas. La región sudamericana ha experimentado una inversión y un compromiso diplomático chino significativos en los últimos años, lo que hace que la inteligencia sobre los gobiernos locales y la infraestructura crítica sea muy valiosa.

Implicaciones para la comunidad de ciberseguridad

Esta campaña presenta desafíos significativos para los defensores. El abuso de servicios legítimos como Google Drive crea un dilema: bloquear dominios enteros esenciales para el negocio diario es impracticable, pero permitir el acceso sin restricciones crea riesgo. Los equipos de seguridad deben ir más allá de la simple lista de permitidos de dominios e implementar controles más granulares, como inspeccionar el tráfico cifrado (donde sea posible y legal), monitorear patrones de acceso anómalos a servicios en la nube y emplear análisis de comportamiento de usuarios y entidades (UEBA).

Además, la dependencia de binarios LotL (LoLBins) como msiexec.exe requiere un enfoque más profundo en la ingeniería de detección. En lugar de buscar archivos maliciosos, los defensores deben monitorear comportamientos y secuencias de eventos sospechosos—por ejemplo, msiexec.exe estableciendo conexiones de red inesperadas o cargando DLLs desde ubicaciones inusuales como el directorio Temp del usuario. El listado de permitidos de aplicaciones y la gestión de privilegios también son controles críticos para interrumpir este tipo de actividad.

El descubrimiento de esta campaña subraya la evolución continua de los grupos APT apoyados por estados-nación. Están invirtiendo menos en exploits de día cero, frágiles y costosos, y más en técnicas operativas que son más difíciles de atribuir y más fáciles de sostener. Para las organizaciones, especialmente aquellas en gobierno, telecomunicaciones e infraestructura crítica, el mensaje es claro: asuman que las plataformas confiables pueden ser weaponizadas y que los procesos normales del sistema pueden ser subvertidos. Una estrategia de defensa en profundidad, que combine una segmentación robusta de red, una gestión rigurosa de parches, una búsqueda avanzada de amenazas y una capacitación informada de usuarios, sigue siendo la mejor defensa contra estas amenazas sigilosas y persistentes.