Hackers Vinculados a China e India Atacan Simultáneamente a la Policía de Baluchistán en Pakistán
Introducción
El panorama de amenazas en el Sur de Asia ha experimentado una escalada significativa en los últimos años, con operaciones de ciberespionaje cada vez más sofisticadas y persistentes. Un reciente informe de SentinelOne revela que tanto grupos de amenazas persistentes avanzadas (APT) vinculados a China como a la India han estado atacando de forma paralela a la Policía de Baluchistán, en Pakistán, durante al menos dos años. Este caso resalta la complejidad de los conflictos híbridos en la región y el creciente uso de herramientas cibernéticas para la obtención de inteligencia y la desestabilización de entidades críticas.
Contexto del Incidente
La provincia de Baluchistán, situada al suroeste de Pakistán, es una región geopolíticamente sensible debido a su ubicación estratégica y la presencia de movimientos separatistas. La Policía de Baluchistán ha sido un objetivo recurrente tanto para actores estatales como no estatales. Según SentinelOne, desde al menos 2022, la infraestructura digital de este cuerpo policial ha sido objeto de ataques coordinados por parte de APTs chinos e indios, en un claro ejemplo de espionaje cibernético multifacético.
Los ataques se producen en un contexto de rivalidad histórica y tensiones políticas entre India, China y Pakistán, donde la información sensible sobre operaciones policiales, inteligencia y movimientos militares resulta de alto valor estratégico. Estos ataques no solo ponen en riesgo la seguridad de la información, sino que también pueden tener consecuencias directas en la operatividad de las fuerzas policiales y la estabilidad regional.
Detalles Técnicos
Según el informe de SentinelOne, los grupos identificados como responsables de los ataques corresponden a APTs previamente asociados con operaciones de ciberespionaje patrocinadas por los estados chino e indio. Entre los actores chinos destaca Mustang Panda (también conocido como Bronze President, Temp.Hex), mientras que entre los actores indios figura SideWinder (APT-C-17).
Ambos grupos han empleado técnicas de spear phishing como vector inicial de acceso, utilizando documentos señuelo en idiomas locales e inglés, diseñados específicamente para el contexto operativo de la policía paquistaní. Los documentos maliciosos aprovechan vulnerabilidades conocidas, como CVE-2017-0199 y CVE-2018-0802, que afectan a Microsoft Office, permitiendo la ejecución remota de código y la descarga de payloads adicionales.
Las Tácticas, Técnicas y Procedimientos (TTP) observadas se alinean con los frameworks MITRE ATT&CK, destacando:
– Spear phishing (T1566.001)
– Uso de scripts PowerShell maliciosos (T1059.001)
– Persistencia mediante scheduled tasks y claves de registro (T1053.005, T1547.001)
– Exfiltración de información mediante canales cifrados (T1041)
Entre los indicadores de compromiso (IoC) detectados se encuentran hashes de archivos maliciosos, direcciones IP de C2 (comando y control) en infraestructuras cloud públicas y dominios registrados con patrones similares a los utilizados en campañas previas atribuidas a ambos grupos.
Impacto y Riesgos
El impacto de estos ataques es considerable, ya que la Policía de Baluchistán gestiona información confidencial sobre operaciones antiterroristas, inteligencia interna y coordinación interestatal. La exposición o manipulación de estos datos podría comprometer investigaciones policiales, poner en peligro a agentes y fuentes, y facilitar operaciones de desinformación o sabotaje.
Además, la coexistencia de actores con intereses opuestos en la misma infraestructura sugiere la posibilidad de interferencia mutua e, incluso, la explotación de vulnerabilidades creadas por un actor para beneficio del otro. A nivel de ciberseguridad, esto multiplica los riesgos de escalada y daño colateral.
Medidas de Mitigación y Recomendaciones
Para mitigar los riesgos asociados a estos ataques, se recomienda:
– Actualizar y parchear todos los sistemas afectados por CVE-2017-0199, CVE-2018-0802 y otras vulnerabilidades críticas.
– Implementar soluciones EDR (Endpoint Detection & Response) con capacidades de análisis de comportamiento y respuesta automática.
– Fortalecer la formación de usuarios en detección de phishing y buenas prácticas de seguridad.
– Segmentar la red y aplicar el principio de mínimo privilegio en accesos a información sensible.
– Monitorizar de forma proactiva los IoC proporcionados por SentinelOne y otras fuentes OSINT.
– Revisar políticas de acceso remoto y aplicar autenticación multifactor.
Opinión de Expertos
Analistas de ciberinteligencia destacan la sofisticación de las campañas y la persistencia de los atacantes. “La presencia de múltiples APTs en la misma infraestructura indica un valor estratégico excepcional de los datos y una deficiente higiene de ciberseguridad”, señala Antonio Díaz, CISO de una multinacional de defensa. Además, se subraya la necesidad de colaboración internacional y mecanismos de respuesta ante incidentes transfronterizos, en línea con los requisitos de la Directiva NIS2.
Implicaciones para Empresas y Usuarios
Este caso pone de manifiesto que las infraestructuras críticas, incluso fuera del entorno OT/ICS, son objetivos prioritarios para actores estatales. Las empresas y organizaciones que operan en regiones de alta tensión deben reforzar sus capacidades de threat hunting, análisis forense y compartición de inteligencia. Asimismo, la protección de datos bajo normativas como GDPR cobra especial relevancia, dado el riesgo de brechas y filtraciones internacionales.
Conclusiones
El ataque simultáneo de APTs chinos e indios a la Policía de Baluchistán ilustra la complejidad del ciberespionaje moderno y la importancia de adoptar una postura de defensa en profundidad. La actualización constante, la vigilancia activa y la cooperación internacional son esenciales para mitigar estos riesgos. Los equipos de ciberseguridad deben estar preparados para responder a múltiples amenazas avanzadas, incluso procedentes de actores con intereses opuestos.
(Fuente: www.securityweek.com)
