Hackers chinos de Flax Typhoon convierten ArcGIS en puerta trasera durante más de un año

Introducción

Un reciente informe de la firma de ciberseguridad ReliaQuest ha sacado a la luz una campaña sostenida de ciberataques dirigida contra sistemas ArcGIS, atribuida al grupo chino APT conocido como Flax Typhoon (también identificado como Ethereal Panda y RedJuliett). Esta operación, de carácter avanzado y persistente, habría logrado comprometer infraestructuras críticas mediante la conversión de entornos ArcGIS en puertas traseras operativas durante más de un año, pasando inadvertida para los equipos de seguridad y generando un riesgo significativo para la confidencialidad, integridad y disponibilidad de los datos gestionados.

Contexto del Incidente

ArcGIS es una plataforma ampliamente usada para la gestión y análisis de información geoespacial, especialmente en sectores como la administración pública, energía, defensa y utilities. El compromiso de estos sistemas no solo expone información sensible, sino que puede afectar a servicios esenciales. Flax Typhoon, un grupo con presunta vinculación estatal china, se ha destacado en los últimos años por su enfoque en la explotación de sistemas empresariales críticos y el uso de técnicas de persistencia de bajo perfil. Según fuentes gubernamentales estadounidenses, este APT opera con recursos avanzados y en ocasiones ha sido vinculado a intereses económicos y de inteligencia estratégica de China.

Detalles Técnicos

El ataque se centró en vulnerabilidades específicas del ecosistema ArcGIS, principalmente en versiones no parcheadas que ejecutan servicios expuestos a Internet. Aunque no se ha publicado un CVE concreto para esta variante del ataque, la telemetría recogida apunta a la explotación de configuraciones por defecto, cuentas de servicio mal protegidas y la inyección de webshells personalizados en directorios de instalación del servidor ArcGIS.

Los TTPs observados (Tácticas, Técnicas y Procedimientos) se alinean con los identificadores MITRE ATT&CK siguientes:

– TA0001 (Initial Access): Explotación de servicios públicos expuestos y credenciales por defecto.
– TA0003 (Persistence): Modificación de archivos de configuración y uso de webshells.
– TA0005 (Defense Evasion): Uso de herramientas legítimas del sistema y ofuscación de tráfico.
– TA0010 (Exfiltration): Exfiltración a través de canales cifrados y transferencia de datos fragmentados.

Entre los Indicadores de Compromiso (IoC) destacan la presencia de archivos .aspx sospechosos, conexiones salientes a infraestructuras C2 asociadas a Flax Typhoon e inusuales patrones de autenticación remota.

La campaña utilizó frameworks y herramientas propias, aunque se ha identificado el uso de Cobalt Strike para el movimiento lateral y la consolidación de accesos persistentes, además de scripts PowerShell personalizados para la recolección de credenciales y evasión de controles EDR.

Impacto y Riesgos

El vector de ataque dirigido a ArcGIS resultó especialmente crítico debido a la naturaleza de los datos gestionados y la interconectividad de estos sistemas con otras plataformas corporativas. Las organizaciones afectadas han reportado accesos no autorizados sostenidos, manipulación de datos geoespaciales y riesgo de sabotaje en infraestructuras críticas.

Según ReliaQuest, la campaña podría haber afectado potencialmente al 3-5% de las instalaciones ArcGIS expuestas a Internet a nivel mundial, con especial incidencia en Europa y América del Norte. El acceso persistente durante más de doce meses incrementa el riesgo de robo de propiedad intelectual, espionaje industrial y violaciones de normativas como el GDPR y la Directiva NIS2.

Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo de este y otros ataques similares, se recomienda:

– Actualizar ArcGIS a la última versión disponible y aplicar todos los parches de seguridad publicados por el fabricante.
– Auditar y restringir la exposición de servicios ArcGIS a Internet, implementando segmentación de red y controles de acceso estrictos.
– Revisar la configuración de cuentas de servicio, eliminando credenciales por defecto y aplicando principios de mínimo privilegio.
– Monitorizar registros de acceso y eventos para detectar patrones anómalos, incluyendo conexiones remotas y cambios en archivos de configuración.
– Implantar soluciones EDR y SIEM capaces de identificar la ejecución de scripts maliciosos y herramientas como Cobalt Strike.
– Realizar análisis forense de sistemas que hayan presentado actividad sospechosa y compartir indicadores de compromiso con la comunidad sectorial.

Opinión de Expertos

Especialistas en ciberinteligencia como John Hultquist, director de Threat Intelligence en Mandiant, advierten que “el uso de plataformas ampliamente adoptadas como ArcGIS para la persistencia y el movimiento lateral representa una evolución preocupante en las estrategias de los APTs chinos, que buscan maximizar el acceso a información sensible sin levantar sospechas durante largos periodos”.

Implicaciones para Empresas y Usuarios

Las organizaciones con infraestructuras basadas en ArcGIS deben considerar estos ataques como una amenaza real y tangible. La explotación prolongada de estos entornos compromete la confianza en la integridad de los datos y puede acarrear importantes sanciones regulatorias bajo GDPR y NIS2, además de graves consecuencias reputacionales y económicas. Los administradores deben reforzar la vigilancia sobre sistemas GIS y priorizar la formación del personal en identificación de amenazas avanzadas.

Conclusiones

La campaña atribuida a Flax Typhoon subraya la creciente sofisticación de los grupos APT vinculados a China y la imperiosa necesidad de reforzar la seguridad de plataformas críticas como ArcGIS. La defensa proactiva, la actualización constante y la colaboración sectorial son esenciales para mitigar estos riesgos y proteger la infraestructura crítica frente a amenazas persistentes y furtivas.

(Fuente: feeds.feedburner.com)