AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**El grupo chino Salt Typhoon amplía sus ataques a operadores de telecomunicaciones en Canadá**

admin

### Introducción

En el contexto de una escalada global de ciberataques patrocinados por estados, el grupo chino conocido como Salt Typhoon (también identificado como BRONZE UNIVERSITY, Elastic Panda o APT41) ha ampliado sus operaciones dirigidas contra infraestructuras críticas. Recientemente, el Centro Canadiense para la Ciberseguridad (CCCS) y el FBI han confirmado que este actor amenaza activamente a empresas de telecomunicaciones en Canadá, con al menos una intrusión significativa documentada en febrero de 2024. Este artículo analiza en profundidad los métodos, riesgos y recomendaciones relevantes para responsables de seguridad y profesionales del sector.

### Contexto del Incidente

Salt Typhoon es un grupo de amenazas persistentes avanzadas (APT) vinculado al gobierno de la República Popular China, con un historial de operaciones cibernéticas dirigidas contra sectores estratégicos a nivel global, incluyendo telecomunicaciones, energía y defensa. Desde 2022, sus campañas han mostrado un marcado interés por la infraestructura de comunicaciones en Norteamérica y Europa.

El ataque confirmado en febrero de 2024 contra un proveedor canadiense de telecomunicaciones representa una evolución en la estrategia del grupo, que tradicionalmente había focalizado sus esfuerzos en Asia y Estados Unidos. La colaboración entre el CCCS y el FBI ha sido fundamental para identificar los vectores de ataque, los indicadores de compromiso (IoC) y el alcance de la intrusión.

### Detalles Técnicos del Ataque

Las investigaciones forenses han revelado que Salt Typhoon emplea técnicas de acceso inicial aprovechando vulnerabilidades conocidas en dispositivos perimetrales y software empresarial. En este incidente, los atacantes explotaron la vulnerabilidad CVE-2023-28771, presente en dispositivos VPN de Fortinet y Zyxel, que permite ejecución remota de código sin autenticación previa. La explotación se detectó mediante el análisis de logs de acceso y tráfico inusual hacia IPs asociadas a infraestructura de mando y control (C2).

Adicionalmente, el grupo hace uso de herramientas ampliamente conocidas como Cobalt Strike y Metasploit para el movimiento lateral y la escalada de privilegios dentro de las redes comprometidas. Se ha observado la utilización del framework de ataque Living Off The Land (LoL), aprovechando binarios legítimos del sistema operativo para evadir soluciones EDR tradicionales.

El análisis TTP basado en MITRE ATT&CK identifica técnicas como:
– **Initial Access (T1190)**: Exploitación de aplicaciones expuestas.
– **Execution (T1059)**: Utilización de PowerShell y comandos nativos.
– **Persistence (T1547)**: Modificación de servicios y scripts de inicio.
– **Defense Evasion (T1036)**: Camuflaje de herramientas y renombrado de payloads.
– **Command and Control (T1071)**: Uso de canales HTTP/HTTPS cifrados para control remoto.

Los IoC destacados incluyen direcciones IP originadas en China, dominios maliciosos registrados recientemente y artefactos de Cobalt Strike con firmas personalizadas.

### Impacto y Riesgos

La intrusión compromete no solo la confidencialidad y disponibilidad de la red empresarial, sino que también representa un riesgo elevado para la privacidad de las comunicaciones de millones de usuarios. Los atacantes podrían interceptar tráfico, manipular datos o realizar ataques posteriores contra clientes corporativos conectados a la infraestructura.

Según estimaciones del CCCS, alrededor del 17% de los operadores de telecomunicaciones canadienses presentan sistemas vulnerables. A nivel económico, una brecha de esta magnitud puede traducirse en pérdidas superiores a los 4 millones de dólares por incidente, considerando interrupciones de servicio, costes de respuesta y sanciones regulatorias bajo normativas como la GDPR (aplicable a empresas con clientes europeos) y la NIS2.

### Medidas de Mitigación y Recomendaciones

Las siguientes acciones son prioritarias para contener y prevenir compromisos similares:
– **Actualización inmediata** de dispositivos afectados por CVE-2023-28771 y otras vulnerabilidades críticas.
– **Segmentación de red** y restricción de accesos a infraestructura sensible.
– **Implementación de Zero Trust** y políticas de mínimos privilegios.
– **Despliegue de soluciones EDR/XDR** capaces de identificar técnicas LoL y movimiento lateral.
– **Monitorización activa** de IoC publicados por el CCCS y el FBI.
– **Simulaciones de ataques tipo Red Team** para evaluar la resiliencia de los controles.
– **Formación continua** para administradores y personal clave sobre nuevas tácticas de APTs.

### Opinión de Expertos

Analistas de amenazas y responsables de SOC coinciden en que Salt Typhoon representa uno de los actores más sofisticados y persistentes actualmente activos. Según declaraciones de Mark Goudie, director de seguridad de una consultora de ciberseguridad canadiense, “la capacidad de este grupo para adaptarse y explotar vulnerabilidades de día cero, junto con el uso de infraestructura C2 dinámica, dificulta enormemente su detección y erradicación”.

Por su parte, el CCCS destaca la importancia de la colaboración internacional y el intercambio de inteligencia como elementos clave para anticipar nuevas campañas y reducir el tiempo de respuesta ante incidentes.

### Implicaciones para Empresas y Usuarios

El ataque subraya la urgencia de revisar y reforzar la seguridad de los proveedores críticos en el ecosistema digital. Las empresas deben exigir garantías de ciberseguridad a sus partners y proveedores, incorporando cláusulas de cumplimiento normativo (GDPR, NIS2) y realizando auditorías periódicas.

Para los usuarios finales, la exposición a campañas de espionaje o sabotaje puede suponer la filtración de datos personales y la interrupción de servicios esenciales, evidenciando la necesidad de una mayor transparencia y comunicación por parte de los operadores afectados.

### Conclusiones

El caso de Salt Typhoon y el ataque a operadores canadienses confirma la amenaza creciente de los grupos APT patrocinados por China sobre infraestructuras críticas occidentales. Ante la sofisticación técnica y la persistencia de estos adversarios, la respuesta debe ser proactiva, coordinada y basada en inteligencia actualizada. Solo así podrán las organizaciones mitigar eficazmente los riesgos y garantizar la resiliencia de sus servicios frente a amenazas estatales.

(Fuente: www.bleepingcomputer.com)