Redazione RHC : 25 septiembre 2025 14:29
Según Google Threat Intelligence , el grupo de espionaje UNC5221 vinculado a China ha llevado a cabo una serie de intrusiones exitosas en redes corporativas desde marzo de este año, explotando vulnerabilidades previamente desconocidas en los productos de Ivanti.
Los ataques implicaron la introducción de puertas traseras que permitieron a los atacantes mantener el acceso a la infraestructura de las víctimas durante un promedio de 393 días.
Los expertos han atribuido las acciones al grupo UNC5221 y a otros grupos chinos de ciberespionaje relacionados. Según el informe , UNC5221 comenzó a explotar activamente vulnerabilidades en dispositivos Ivanti ya en 2023. Google enfatiza que este grupo no está asociado con Silk Typhoon (anteriormente Hafnium), sospechoso de hackear el Departamento del Tesoro de EE. UU. en diciembre.
Se trata de un grupo APT con motivación financiera (FIN) o patrocinado por un estado, aunque el origen de UNC5221 indica claramente apoyo estatal. Desde la primavera de 2025, los expertos de Mandiant han respondido a incidentes relacionados con este grupo en una amplia gama de sectores, desde bufetes de abogados hasta proveedores de SaaS y empresas de externalización corporativa. En la mayoría de los casos, los atacantes utilizaron una puerta trasera especialmente diseñada, BRICKSTORM, implantada en dispositivos que no admiten métodos de detección tradicionales (EDR).
Esto permitió que los atacantes pasaran desapercibidos: los sistemas de seguridad de las organizaciones simplemente no detectaron la actividad maliciosa. Para ayudar a identificar infecciones, Google lanzó una herramienta de análisis gratuita que no requiere la instalación de YARA y es compatible con sistemas Linux y BSD .
Busca firmas y patrones únicos en el código característicos de BRICKSTORM. Representantes de Mandiant enfatizan que el número de infecciones podría ser significativo una vez que las organizaciones comiencen a escanear masivamente sus dispositivos: se espera que los efectos de esta campaña sean evidentes en los próximos uno o dos años.
En al menos un caso, hackers estatales accedieron a Ivanti Connect Secure mediante una vulnerabilidad de día cero. Si bien Google no especificó la vulnerabilidad específica, los investigadores ya habían vinculado UNC5221 con la explotación activa de CVE-2023-46805 y CVE-2024-21887, ambas reveladas públicamente en enero de 2024.
Tras penetrar en la red, los atacantes instalaron BRICKSTORM, un malware escrito en Go y equipado con funcionalidad proxy (SOCKS). Aunque se menciona una versión para Windows, los expertos de Mandiant no la han observado directamente; la evidencia de esta modificación es indirecta. De hecho, el malware se ha detectado en dispositivos Linux y BSD, incluyendo dispositivos de red de varios fabricantes.
UNC5221 ataca regularmente servidores VMware vCenter y hosts ESXi, a menudo iniciándose en dispositivos perimetrales y utilizando credenciales robadas para penetrar más profundamente en la red. En un ataque, BRICKSTORM se introdujo en vCenter tras el inicio de la investigación del incidente, lo que demuestra la capacidad del adversario para adaptarse en tiempo real y monitorear las acciones de los defensores . El malware también fue modificado mediante herramientas de ofuscación de Garble , bibliotecas personalizadas de wssoft y, en un caso , un temporizador para retrasar la actividad hasta una fecha específica.
Además, en varios casos, los atacantes utilizaron malware adicional: BRICKSTEAL , un filtro de servlets Java malicioso para Apache Tomcat que se ejecuta en la interfaz web de vCenter. Intercepta los encabezados HTTP de autenticación básica y extrae datos de inicio de sesión y contraseña, incluidas las credenciales de dominio si la organización utiliza Active Directory. Instalar un filtro suele requerir cambios de configuración y reiniciar el servidor, pero en este caso, los atacantes utilizaron un dropper especial que inyectaba código en la memoria sin reiniciar el servidor, lo que mejoraba aún más el sigilo.
Como parte de los ataques, los atacantes también obtuvieron acceso a las cuentas de correo electrónico de empleados clave: desarrolladores, administradores de sistemas y otros especialistas cuyas actividades podrían ser de interés para los intereses económicos o de inteligencia chinos. Para ello, explotaron las aplicaciones corporativas Entra ID de Microsoft con privilegios mail.read o full_access_as_app, lo que les permitía acceder a cualquier correo electrónico de la organización.
RedazioneSe ha identificado una vulnerabilidad de omisión de autenticación en Azure Bastion (descubierta por RHC gracias a la monitorización constante de CVE críticos en nuestro portal), el servicio gestio...
El panorama del ransomware está cambiando. Los actores más expuestos —LockBit, Hunters International y Trigona— han pagado el precio de la sobreexposición, incluyendo operaciones internacionale...
Hace exactamente 40 años, el 20 de noviembre de 1985, Microsoft lanzó Windows 1.0 , la primera versión de Windows, que intentó transformar el entonces ordenador personal, una máquina con una lín...
18 de noviembre de 2025 – Tras horas de interrupciones generalizadas , el incidente que afectó a la red global de Cloudflare parece estar cerca de resolverse. La compañía anunció que impleme...
Dos graves vulnerabilidades en el sistema operativo AIX de IBM podrían permitir a atacantes remotos ejecutar comandos arbitrarios en los sistemas afectados, lo que ha llevado a la compañía a public...
