Google interrumpe infraestructura de hackers chinos UNC2814

Un presunto grupo de hackers vinculado al estado chino ha sido descubierto llevando a cabo una de las operaciones de ciberespionaje de mayor alcance jamás descubiertas: hackeando silenciosamente a proveedores de telecomunicaciones y organismos gubernamentales en cuatro continentes durante casi una década.

Google ha intervenido para desmantelar por completo esa operación, cortando el acceso persistente del grupo y publicando inteligencia sobre amenazas para ayudar a las organizaciones afectadas a identificar y responder.

Google Threat Intelligence Group (GTIG) y Mandiant actuaron coordinadamente para desmantelar una campaña global de espionaje vinculada a un actor de amenazas identificado como UNC2814, cuya vinculación con la República Popular China (RPC).

GTIG ha monitoreado a este grupo desde 2017. Para el 18 de febrero de 2026, la investigación confirmó 53 víctimas en 42 países, con presuntas infecciones en al menos 20 naciones más de África, Asia y América.

Este alcance refleja casi una década de esfuerzos deliberados y concentrados dirigidos contra algunas de las infraestructuras de comunicación más sensibles del mundo. La campaña se centró en una puerta trasera no documentada previamente llamada GRIDTIDE, una puerta trasera basada en C capaz de ejecutar comandos de shell, subir archivos a hosts comprometidos y extraer datos.

Los analistas de Google Cloud identificaron GRIDTIDE después de que una investigación de Mandiant Threat Defense detectara un comportamiento sospechoso en el servidor Linux CentOS de un cliente. En lugar de utilizar servidores de comando dedicados, GRIDTIDE enruta las comunicaciones a través de Hojas de cálculo de Google, tratando las celdas de la hoja de cálculo como un canal de mensajería en vivo entre el atacante y las máquinas comprometidas.

Esto camuflaba el tráfico malicioso como actividad rutinaria en la nube, lo que dificultaba enormemente su detección por parte de las defensas de red estándar.

UNC2814 no tiene ninguna superposición conocida con el grupo Salt Typhoon, del que se ha informado públicamente; ataca a víctimas completamente diferentes utilizando métodos, herramientas y procedimientos distintos.

Una alerta de detección reveló un binario llamado /var/tmp/xapt, diseñado para parecerse a una herramienta de sistema común, que había iniciado una shell con privilegios de root y ejecutaba comandos para confirmar el control total de la máquina.

Ese descubrimiento proporcionó a los investigadores la pista clave necesaria para desentrañar el funcionamiento completo de UNC2814. El nombre binario xapt fue elegido deliberadamente para imitar la utilidad de gestión de paquetes heredada que se encuentra en los sistemas Linux basados ​​en Debian.

Aunque no se ha confirmado el vector de acceso inicial exacto, UNC2814 tiene un historial de intrusiones mediante la vulneración de servidores web con conexión a internet y dispositivos de red perimetral.

Una vez dentro, el grupo utilizó herramientas legítimas integradas en el sistema para moverse lateralmente (técnicas "living off the land"), evitando software nuevo que pudiera activar alertas de seguridad.

Los sistemas atacados incluían máquinas que contenían información personal identificable, como nombres, números de teléfono, números de identificación nacional y registros de votantes, todo ello en consonancia con las prioridades de recopilación de inteligencia de la República Popular China.

Persistencia y comando y control de GRIDTIDE

Tras asegurar el acceso, UNC2814 integró GRIDTIDE registrando un servicio systemd en /etc/systemd/system/xapt.service. El malware se ejecutaba mediante el comando nohup, lo que garantizaba su continuidad incluso después de finalizar la sesión del atacante.

Como canal de comunicación secundario, el grupo implementó el Puente VPN SoftEther, abriendo un túnel saliente cifrado a una infraestructura externa que, según los metadatos, ha estado activa desde julio de 2018.

Utiliza una clave de cifrado AES-128 de 16 bytes para desbloquear su configuración de Google Drive, que contiene las credenciales de la cuenta de servicio y el ID de la hoja de cálculo necesarios para el acceso C2.

Una vez conectado, borra las primeras 1000 filas de la hoja de cálculo, toma la huella digital del equipo víctima (recopilando el nombre de host, la versión del sistema operativo, la IP local y la zona horaria) y almacena esos datos en la celda V1.

Los comandos llegan a través de la celda A1 y los resultados se devuelven a través de un rango de celdas definido. Todo el tráfico se codifica en Base64 URL-safe para eludir los filtros web y las herramientas de inspección de red.

Las organizaciones deben supervisar las conexiones HTTPS salientes a los puntos finales de la API de Hojas de Cálculo de Google, especialmente las solicitudes que involucran batchClear, batchUpdate y valueRenderOption=FORMULA, desde procesos que no sean del navegador.

Los equipos de seguridad también deben verificar si hay servicios systemd en directorios inesperados, archivos binarios que se ejecutan desde /var/tmp/ y componentes de SoftEther VPN en servidores Linux.

Aplicar la regla YARA publicada por GTIG para GRIDTIDE y contrastar la lista de IOC publicada con los registros internos ayudará a confirmar si persiste alguna exposición residual de esta campaña.

Fuente: Google

Suscríbete a nuestro Boletín