AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Ciberataques de APTs Chinas: Salt Typhoon y Twill Typhoon Amplían Objetivos y Mejoran sus Herramientas**

admin

### 1. Introducción

Durante las últimas semanas, los grupos de amenazas persistentes avanzadas (APT) de origen chino han intensificado sus campañas contra infraestructuras críticas y organizaciones estratégicas. Destacan dos incidentes recientes: Salt Typhoon (también conocido como BRONZE BUTLER o APT10) ha comprometido una entidad energética en Azerbaiyán, mientras que Twill Typhoon (conocido previamente como APT41) ha desplegado una nueva versión de su troyano de acceso remoto (RAT) contra diversos objetivos en Asia. Estos acontecimientos subrayan la evolución constante de las TTP (tácticas, técnicas y procedimientos) de los actores chinos y su capacidad para adaptar herramientas y ampliar su radio de acción.

### 2. Contexto del Incidente o Vulnerabilidad

El ataque de Salt Typhoon a una empresa energética azerbaiyana revela el interés estratégico de China en el sector energético del Cáucaso y Asia Central, áreas geopolíticamente sensibles. Por su parte, Twill Typhoon ha renovado sus operaciones de ciberespionaje en Asia, enfocándose en sectores gubernamentales, tecnológicos y de telecomunicaciones. Ambas campañas han sido identificadas por analistas de amenazas tras la detección de infraestructuras de comando y control (C2) y artefactos maliciosos actualizados, lo que supone una amenaza significativa para la seguridad de organizaciones públicas y privadas.

### 3. Detalles Técnicos

**Salt Typhoon:**
Según los informes, Salt Typhoon empleó una cadena de ataque que comienza con spear phishing dirigido, utilizando documentos maliciosos con exploits para vulnerabilidades conocidas en Microsoft Office (CVE-2017-11882 y CVE-2021-40444). Una vez comprometido el sistema, el grupo desplegó backdoors personalizados y herramientas de post-explotación, aprovechando frameworks como Cobalt Strike y Meterpreter.

Los IoC (indicadores de compromiso) detectados incluyen dominios de C2 con patrones de DNS dinámico, hashes de archivos maliciosos y direcciones IP asociadas a anteriores campañas de APT10.

**Twill Typhoon:**
En el caso de Twill Typhoon, el grupo ha actualizado su RAT, bautizado como “ShadowPad R2”, con mecanismos mejorados de evasión y persistencia. El vector inicial fue la explotación de servidores VMware Horizon vulnerables (CVE-2022-22954), combinada con la carga lateral de DLLs y el uso de credenciales robadas mediante Mimikatz. El malware implementa técnicas de “living off the land” (LOL), aprovechando binarios legítimos del sistema Windows para dificultar la detección.

Los TTP de ambos grupos encajan en los identificadores MITRE ATT&CK:
– **TA0001 – Initial Access:** Spear phishing, explotación de aplicaciones públicas.
– **TA0002 – Execution:** Scripting malicioso, ejecución de payloads en memoria.
– **TA0005 – Defense Evasion:** Uso de empaquetadores, cifrado de tráfico C2.
– **TA0006 – Credential Access:** Dumping de credenciales con Mimikatz.

### 4. Impacto y Riesgos

El compromiso de infraestructuras energéticas y entidades estratégicas puede tener múltiples consecuencias, desde la interrupción de servicios críticos hasta el robo de información sensible e intelectual. En el caso de Azerbaiyán, el acceso a sistemas SCADA y redes industriales podría facilitar operaciones de sabotaje o espionaje a gran escala.

En Asia, la actualización del RAT de Twill Typhoon permite al atacante mantener persistencia a largo plazo, exfiltrar grandes volúmenes de datos y pivotar lateralmente a través de redes corporativas. El impacto económico, según estimaciones del sector, podría superar los 10 millones de dólares por incidente, considerando costes de recuperación, sanciones regulatorias y pérdida de confianza.

### 5. Medidas de Mitigación y Recomendaciones

Para mitigar los riesgos asociados a estas campañas, los expertos recomiendan:

– Aplicación inmediata de parches para CVEs explotados (especialmente CVE-2017-11882, CVE-2021-40444 y CVE-2022-22954).
– Restricción de macros en documentos ofimáticos y uso de soluciones EDR con capacidad de detección de actividad LOL.
– Monitorización continua de tráfico de red y endpoints en busca de IoC conocidos y comportamiento anómalo.
– Segmentación de redes OT/IT y despliegue de honeypots para detección temprana.
– Realización periódica de ejercicios de Red Team y simulaciones de ataque, utilizando frameworks como MITRE ATT&CK y herramientas como Metasploit y Cobalt Strike.
– Formación de los empleados frente a técnicas de spear phishing y concienciación sobre la gestión de credenciales.

### 6. Opinión de Expertos

Según Javier Álvarez, director de ciberinteligencia de una consultora europea: “La sofisticación creciente de APTs chinos como Salt Typhoon y Twill Typhoon evidencia no solo una mejora en sus herramientas, sino una comprensión profunda de los sistemas corporativos y de las infraestructuras industriales. La colaboración internacional y el intercambio de IoC en tiempo real son claves para frenar su avance.”

### 7. Implicaciones para Empresas y Usuarios

El aumento de ataques dirigidos a infraestructuras críticas y sectores estratégicos obliga a las organizaciones a elevar su nivel de madurez en ciberseguridad, especialmente conforme a las exigencias de la directiva NIS2 y el GDPR. La resiliencia operativa, la gestión proactiva de vulnerabilidades y la respuesta ante incidentes deben ser prioridades, tanto para CISOs como para administradores de sistemas y equipos SOC.

### 8. Conclusiones

La actividad reciente de Salt Typhoon y Twill Typhoon pone de manifiesto la evolución continua de las amenazas APT de origen chino, su capacidad de adaptación y el interés estratégico en sectores críticos. Las organizaciones deben reforzar sus controles técnicos y operativos, invertir en inteligencia de amenazas y fortalecer la colaboración sectorial para anticipar y mitigar riesgos complejos y persistentes.

(Fuente: www.securityweek.com)