Una operación de ciberespionaje atribuida a un grupo vinculado al Estado chino ha sido desmantelada tras casi una década de actividad encubierta en infraestructuras críticas de telecomunicaciones y organismos gubernamentales en cuatro continentes. La investigación, liderada por el Google Threat Intelligence Group (GTIG) y Mandiant, ha identificado al actor como UNC2814, una amenaza persistente avanzada (APT) con supuestos vínculos con la República Popular China (PRC).

El alcance de la campaña es extraordinario: 53 víctimas confirmadas en 42 países y sospechas de infecciones en al menos otras 20 naciones de África, Asia y América. Según los analistas, la actividad se remonta al menos a 2017, lo que convierte este caso en una de las operaciones de espionaje digital más prolongadas y estratégicas jamás documentadas.

Una puerta trasera inédita: así funciona GRIDTIDE

El núcleo técnico de la campaña giraba en torno a un backdoor previamente desconocido bautizado como GRIDTIDE. Su principal innovación no radica únicamente en la sofisticación criptográfica, sino en el uso encubierto de servicios legítimos en la nube como canal de mando y control (C2).

En lugar de comunicarse con servidores maliciosos dedicados —un patrón que suele activar sistemas de detección—, GRIDTIDE utilizaba Google Sheets como si fuera una consola remota. Las celdas de una hoja de cálculo funcionaban como canal bidireccional de comunicación entre el atacante y el sistema comprometido.

Este enfoque permitía camuflar el tráfico malicioso como actividad legítima de Google Workspace, dificultando enormemente su detección por soluciones tradicionales de monitorización de red. En entornos corporativos donde el acceso a servicios cloud está ampliamente permitido, este tipo de abuso representa un desafío significativo para los equipos SOC.

El hallazgo: un binario disfrazado en un servidor Linux

El punto de partida de la investigación fue una alerta generada durante un análisis de defensa gestionada por Mandiant en un servidor CentOS perteneciente a un cliente. Los analistas detectaron un binario sospechoso en /var/tmp/xapt, diseñado para parecerse a una herramienta legítima de gestión de paquetes en sistemas Debian.

El ejecutable había lanzado una shell con privilegios root y estaba ejecutando comandos destinados a confirmar el control total del sistema. Ese detalle —la combinación de nombre engañoso, ubicación temporal y escalada de privilegios— fue la pista crítica que permitió reconstruir la operación completa de UNC2814.

El uso del nombre “xapt” no fue casual: imitaba al clásico apt, herramienta habitual en entornos Linux. Este tipo de suplantación semántica es habitual en operaciones APT que buscan evadir análisis superficiales y análisis automatizados basados en nombres de procesos.

“Living off the land”: la técnica que evitó alertas

Aunque el vector de acceso inicial no ha sido confirmado de forma definitiva, UNC2814 tiene historial de comprometer servidores web expuestos a internet y dispositivos perimetrales. Una vez dentro, el grupo empleaba una estrategia conocida como “living off the land” (LotL): aprovechar herramientas legítimas del sistema operativo para moverse lateralmente sin introducir malware adicional.

Este enfoque reduce la huella forense y complica la atribución temprana. En lugar de desplegar herramientas externas que puedan ser detectadas por antivirus o EDR, los atacantes utilizan utilidades nativas como nohup, servicios systemd y comandos estándar de red. Esa dependencia de binarios legítimos hace que la actividad maliciosa se mezcle con el ruido operativo normal de la infraestructura.

Persistencia avanzada y túneles cifrados

Tras consolidar el acceso, UNC2814 instalaba GRIDTIDE como un servicio persistente mediante la creación de /etc/systemd/system/xapt.service. El malware se ejecutaba usando el comando nohup, lo que garantizaba su continuidad incluso tras el cierre de sesión del atacante.

Como canal secundario de comunicación, el grupo desplegó SoftEther VPN Bridge, estableciendo túneles cifrados salientes hacia infraestructura externa activa desde al menos julio de 2018. Esta redundancia en los mecanismos de C2 es característica de actores estatales que priorizan resiliencia operativa y continuidad de acceso frente a posibles bloqueos.

Arquitectura técnica de GRIDTIDE

GRIDTIDE está escrito en C y permite la ejecución remota de comandos de shell, la subida de archivos a los sistemas comprometidos y la exfiltración estructurada de datos. Utiliza una clave AES-128 de 16 bytes para descifrar su configuración almacenada en Google Drive, donde se guardan las credenciales de la cuenta de servicio y el ID de la hoja de cálculo empleada como canal de mando y control.

Una vez activo en el sistema víctima, el malware limpia las primeras mil filas de la hoja de cálculo asociada y realiza un proceso de fingerprinting del equipo comprometido. Recopila el nombre del host, la versión del sistema operativo, la dirección IP local y la zona horaria, y almacena esa información en la celda V1. Los comandos del atacante llegan a través de la celda A1 y los resultados se devuelven en un rango específico de celdas predefinido.

Todo el tráfico se codifica en Base64 seguro para URL, lo que facilita el bypass de filtros web e inspección profunda de paquetes (DPI), ya que las solicitudes aparentan ser simples interacciones con la API de Google Sheets.

MLuz Domínguez
Periodista especializada en ciberseguridad y tecnología. Mi enfoque se centra en analizar mundo de las aplicaciones y la seguridad especialmente en redes sociales. Con un interés constante en informar sobre avances, riesgos y sin olvidar la importancia de la prevención, busco compartir información precisa y comprensible para el usuario.

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre