Los actores amenazantes de los estados nacionales respaldados por Beijing irrumpieron en un «puñado» de proveedores de servicios de Internet (ISP) de Estados Unidos como parte de una campaña de espionaje cibernético orquestada para obtener información confidencial, según The Wall Street Journal reportado Miércoles.
La actividad se ha atribuido a un actor de amenazas que Microsoft rastrea como Salt Typhoon, también conocido como FamousSparrow y GhostEmperor.
«Los investigadores están explorando si los intrusos obtuvieron acceso a los enrutadores de Cisco Systems, componentes centrales de la red que dirigen gran parte del tráfico en Internet», dijo la publicación, citando a personas familiarizadas con el asunto.
El objetivo final de los ataques es ganar una presencia persistente dentro de las redes objetivo, lo que permite a los actores de la amenaza recolectar datos confidenciales o lanzar un ciberataque dañino.
GhostEmperor salió a la luz por primera vez en octubre de 2021, cuando la empresa de ciberseguridad rusa Kaspersky detalló una operación evasiva de larga data dirigida a objetivos del sudeste asiático para implementar un rootkit llamado Demodex.
Los objetivos de la campaña incluían entidades de alto perfil en Malasia, Tailandia, Vietnam e Indonesia, además de entidades atípicas ubicadas en Egipto, Etiopía y Afganistán.
En julio de 2024, Sygnia reveló que un cliente anónimo fue comprometido por el actor de amenazas en 2023 para infiltrarse en las redes de uno de sus socios comerciales.
«Durante la investigación, se descubrió que varios servidores, estaciones de trabajo y usuarios estaban comprometidos por un actor de amenazas que implementó varias herramientas para comunicarse con un conjunto de [command-and-control] servidores», dijo la compañía. «Una de estas herramientas fue identificada como una variante de Demodex».
El desarrollo ocurre días después de que el gobierno de Estados Unidos dijera que había desmantelado una botnet de 260.000 dispositivos llamada Raptor Train, controlada por otro equipo de piratas informáticos vinculado a Beijing llamado Flax Typhoon.
También representa el último de una serie de esfuerzos patrocinados por el estado chino para atacar a los sectores de telecomunicaciones, ISP y otras infraestructuras críticas.