AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Grupo chino UNC5221 compromete entornos Microsoft 365 con nuevas puertas traseras y malware inédito**

admin

### 1. Introducción

En las últimas semanas, el sector de la ciberseguridad ha sido testigo de una sofisticada campaña de espionaje dirigida a entornos Microsoft 365, atribuida al grupo de amenazas persistentes avanzadas (APT) identificado como UNC5221. Este actor, vinculado a intereses estatales chinos, ha desplegado un arsenal de herramientas avanzadas, incluyendo la puerta trasera Brickstorm y dos muestras de malware previamente desconocidas bautizadas como Plenet y AgentPSD. La campaña ha levantado especial preocupación entre los equipos de ciberseguridad corporativa debido a la naturaleza sigilosa de los ataques y la orientación a infraestructuras cloud críticas.

### 2. Contexto del Incidente o Vulnerabilidad

UNC5221 es un grupo de ciberespionaje con historial en operaciones focalizadas contra sectores estratégicos. Según informes recientes, el vector inicial de acceso ha sido la explotación de credenciales privilegiadas y el abuso de API en entornos Microsoft 365, facilitando el acceso lateral y la persistencia en redes corporativas occidentales. El incidente se enmarca en una tendencia creciente de ataques supply chain y cloud-based, donde los entornos SaaS se convierten en objetivo prioritario para los actores estatales debido a la densidad de información crítica y la complejidad de monitorización.

### 3. Detalles Técnicos

#### Identificadores y Vectores de Ataque

Hasta la fecha, no se han asignado CVE específicos a las muestras de malware desplegadas en esta campaña. Sin embargo, los TTPs observados se alinean con técnicas MITRE ATT&CK como:

– **T1078 (Obtención de credenciales válidas):** Mediante phishing y ataques de password spraying.
– **T1190 (Explotación de aplicaciones públicas):** Aprovechando configuraciones erróneas y APIs expuestas de Microsoft 365.
– **T1566 (Phishing):** Correos dirigidos para capturar credenciales de acceso.

#### Herramientas y Malware

– **Brickstorm:** Puerta trasera modular orientada a la exfiltración de datos y control remoto de hosts comprometidos. Brickstorm emplea canales C2 cifrados y técnicas de evasión como DLL sideloading y living-off-the-land (LotL).
– **Plenet:** Malware inédito focalizado en la persistencia y el reconocimiento interno de la red, capaz de manipular reglas de acceso, registrar credenciales y desplegar payloads adicionales.
– **AgentPSD:** Herramienta de recolección de credenciales y automatización de movimiento lateral, con capacidades para evadir soluciones EDR tradicionales.

Algunos indicadores de compromiso (IoC) publicados incluyen direcciones IP de C2 en China y hash SHA256 de las muestras detectadas. No se han divulgado aún exploits públicos, aunque se han observado pruebas de concepto privadas en foros especializados.

### 4. Impacto y Riesgos

Las organizaciones afectadas abarcan sectores financiero, manufacturero y tecnológico en Europa y Norteamérica. El impacto principal reside en la filtración de datos confidenciales, acceso a propiedad intelectual y potencial manipulación de flujos de correo electrónico. Según estimaciones de analistas, el 12% de las empresas que utilizan Microsoft 365 en la UE podrían estar expuestas a técnicas similares si no implementan controles avanzados.

El riesgo se amplifica por la capacidad de los atacantes para mantener el acceso sin ser detectados durante semanas, aprovechando la dificultad de auditar logs en entornos SaaS y la dependencia de autenticaciones federadas (SSO).

### 5. Medidas de Mitigación y Recomendaciones

Se recomienda a los equipos de seguridad:

– Habilitar autenticación multifactor (MFA) en todos los accesos a Microsoft 365 y Azure AD.
– Auditar y reducir privilegios innecesarios en cuentas con permisos administrativos.
– Monitorizar logs de acceso y actividades anómalas mediante SIEMs compatibles (Splunk, Sentinel).
– Aplicar reglas de detección YARA y firmas específicas contra Brickstorm, Plenet y AgentPSD.
– Seguir las orientaciones de Microsoft para la protección de entornos cloud y la implementación de alertas en tiempo real ante patrones de acceso sospechosos.
– Revisar políticas de retención de logs para cumplir con NIS2 y GDPR, garantizando la trazabilidad en incidentes de seguridad.

### 6. Opinión de Expertos

Expertos en ciberseguridad, como el equipo de Mandiant y analistas de CrowdStrike, han advertido sobre el cambio de paradigma que representan estos ataques: “La sofisticación de UNC5221 demuestra que los entornos cloud ya no son un refugio seguro frente a actores estatales con recursos ilimitados. La detección temprana y la respuesta coordinada son imprescindibles”, señala Clara Martínez, CISO de una multinacional europea.

### 7. Implicaciones para Empresas y Usuarios

La campaña de UNC5221 pone de manifiesto la urgencia de evolucionar las estrategias de defensa en entornos SaaS. Las empresas deben considerar la segmentación lógica, el refuerzo de la formación en ciberhigiene y la actualización continua de playbooks de respuesta a incidentes. Para los usuarios finales, la concienciación sobre phishing y la revisión periódica de sesiones activas en Microsoft 365 se tornan esenciales para mitigar el riesgo de compromiso.

### 8. Conclusiones

El ataque orquestado por UNC5221 es un claro ejemplo de las amenazas avanzadas que enfrentan las organizaciones en la era cloud. Frente a la aparición de puertas traseras como Brickstorm y malware sofisticado como Plenet y AgentPSD, la vigilancia constante y la adopción de controles adaptativos son la única defensa eficaz. La colaboración internacional y la inteligencia compartida serán determinantes para contener el avance de los grupos APT y proteger los datos críticos ante futuros ataques.

(Fuente: www.bleepingcomputer.com)