### Operativos de Inteligencia China Usan Ofertas de Trabajo Falsas para Acceder a Información Clasificada

#### Introducción

En los últimos meses, agencias de inteligencia de los países Five Eyes (Estados Unidos, Reino Unido, Canadá, Australia y Nueva Zelanda) han emitido una alerta conjunta sobre una campaña de ciberespionaje sofisticada atribuida a actores estatales chinos. El modus operandi consiste en la suplantación de reclutadores en plataformas profesionales online para dirigirse a empleados gubernamentales y personal militar, con el objetivo de obtener acceso a información clasificada o privilegiada. Este tipo de amenazas pone de manifiesto la evolución de las técnicas de ingeniería social y subraya la necesidad de reforzar los controles de seguridad en torno a la gestión de identidades y la protección de datos sensibles.

#### Contexto del Incidente

La campaña, detectada a finales de 2023 y monitorizada durante el primer semestre de 2024, se enmarca dentro de una estrategia global de ciberespionaje atribuida a la República Popular China, concretamente a agrupaciones asociadas al Ministerio de Seguridad del Estado (MSS). Según la alerta publicada por Five Eyes, los atacantes han incrementado la frecuencia y sofisticación de sus ataques dirigidos (spear phishing) hacia personas con acceso a sistemas críticos, documentos clasificados o información estratégica.

Estas operaciones se han intensificado en plataformas como LinkedIn, Indeed y otras redes profesionales, donde los atacantes crean perfiles falsos de reclutadores de empresas tecnológicas o defensivas. Posteriormente, establecen contacto con potenciales víctimas, normalmente empleados de defensa, contratistas gubernamentales o personal militar con acceso a información crítica.

#### Detalles Técnicos

Los ciberdelincuentes emplean técnicas avanzadas de ingeniería social (MITRE ATT&CK T1566.002: Spearphishing via Service) para ganarse la confianza de las víctimas. Una vez establecida la comunicación, suelen solicitar a los objetivos que descarguen documentos supuestamente relacionados con procesos de selección, los cuales contienen malware o enlaces a páginas de phishing.

– **CVE y vectores de ataque**: Se han identificado campañas que explotan vulnerabilidades conocidas en suites ofimáticas (por ejemplo, CVE-2017-11882 en Microsoft Office) para ejecutar código malicioso a través de archivos adjuntos.
– **TTPs**: Uso de Cobalt Strike y Metasploit como frameworks de post-explotación una vez comprometido el endpoint de la víctima. Las cargas útiles suelen evadir soluciones EDR mediante técnicas de ofuscación y living-off-the-land (LOLbins).
– **IoC**: Hashes de documentos maliciosos, dominios de C2 vinculados a infraestructuras chinas, y patrones de comportamiento en los correos electrónicos enviados (redacción en inglés británico o estadounidense, referencias a empresas ficticias).
– **Frameworks MITRE**: TA423 (APT40) y TA428, ambos con historial de ataques a sectores gubernamentales y de defensa.

#### Impacto y Riesgos

El impacto potencial de estas campañas es alto:

– **Compromiso de credenciales**: Acceso no autorizado a sistemas internos, redes clasificadas y plataformas de recursos humanos.
– **Filtración de información**: Robo de documentos confidenciales, planes estratégicos y datos personales bajo protección de la GDPR y NIS2.
– **Movimientos laterales**: Uso de credenciales comprometidas para ampliar el acceso dentro de la infraestructura de la organización, especialmente en entornos híbridos o cloud.
– **Pérdida económica**: Según estimaciones de Five Eyes, los incidentes de ciberespionaje asociados a actores chinos han causado pérdidas superiores a los 25.000 millones de dólares en los últimos cinco años en el sector defensa y gubernamental.

#### Medidas de Mitigación y Recomendaciones

Para mitigar los riesgos asociados a estas campañas, los expertos recomiendan:

– **Formación continua en concienciación**: Programas actualizados de seguridad para empleados con acceso privilegiado.
– **Verificación de identidades**: Uso de métodos de autenticación reforzada antes de intercambiar información sensible con terceros.
– **Bloqueo de adjuntos sospechosos**: Configuración de filtros de contenido y sandboxing para archivos recibidos por correo electrónico.
– **Gestión de vulnerabilidades**: Aplicación de parches de seguridad de forma prioritaria en aplicaciones ofimáticas y sistemas operativos.
– **Monitorización de redes sociales**: Detección proactiva de perfiles falsos y campañas de suplantación en plataformas profesionales.

#### Opinión de Expertos

Analistas de ciberinteligencia consultados por SecurityWeek coinciden en que la ingeniería social sigue siendo uno de los vectores de ataque más efectivos, especialmente cuando se dirige a personal con acceso privilegiado. «La combinación de técnicas psicológicas y el uso de malware personalizado hace que estos ataques sean difíciles de detectar con soluciones tradicionales», señala un CISO de una multinacional del sector defensa. Además, destacan la creciente profesionalización de los atacantes, que utilizan lenguaje nativo y referencias verosímiles para aumentar la tasa de éxito.

#### Implicaciones para Empresas y Usuarios

El incidente evidencia la necesidad de fortalecer las políticas de seguridad en torno al ciclo de vida de los empleados y contratistas, así como la importancia de verificar cualquier contacto sospechoso en redes profesionales. Las empresas del sector público y privado deben revisar sus procedimientos de onboarding y offboarding, garantizar el cumplimiento de la GDPR y NIS2, y asegurar que los sistemas de monitorización detectan patrones anómalos en la comunicación externa.

#### Conclusiones

La campaña de ciberespionaje atribuida a actores estatales chinos representa una amenaza real y sofisticada para los gobiernos y el sector defensa de los países occidentales. La utilización de ofertas de trabajo falsas como vector inicial de ataque subraya la importancia de la concienciación y la formación del personal, así como la necesidad de adoptar un enfoque holístico de la ciberseguridad que combine tecnologías avanzadas y buenas prácticas organizativas.

(Fuente: www.securityweek.com)