El grupo de ciberespionaje vinculado a China, conocido como Salt Typhoon, ha estado explotando vulnerabilidades en enrutadores de red para mantener acceso persistente a sistemas de telecomunicaciones, gobiernos y entornos militares en diferentes países, lo que permitió a los servicios de inteligencia de Beijing extender su capacidad de vigilancia a escala mundial.

Una amenaza sostenida y global

También identificado bajo los nombres GhostEmperor, Operator Panda, RedMike y UNC5807, este grupo ha llevado a cabo operaciones de ciberespionaje durante más de cinco años en países como Estados Unidos, Australia, Canadá, Nueva Zelanda y Reino Unido, además de otras regiones, según un aviso conjunto emitido por agencias gubernamentales.

Salt Typhoon ha sido responsabilizado de múltiples intrusiones en compañías de telecomunicaciones en EE. UU. y Canadá, así como del hackeo a una unidad de la Guardia Nacional estadounidense. Desde al menos 2021, el grupo ha enfocado sus ataques en sectores de telecomunicaciones, transporte, hospedaje, infraestructura gubernamental y militar a nivel global.

Las investigaciones también han vinculado sus operaciones con empresas chinas como Sichuan Juxinhe Network Technology Co. Ltd. (sancionada por EE. UU.), Beijing Huanyu Tianqiong Information Technology Co., Ltd., y Sichuan Zhixin Ruijie Network Technology Co., Ltd., compañías conocidas por proveer servicios y herramientas cibernéticas a la inteligencia china.

El robo de datos en telecomunicaciones, proveedores de internet, transporte y hospedaje representa una ventaja estratégica para identificar y rastrear comunicaciones y movimientos de sus objetivos en todo el mundo.

Técnicas de intrusión y persistencia

Salt Typhoon ha explotado vulnerabilidades conocidas en productos de Cisco (CVE-2018-0171, CVE-2023-20198, CVE-2023-20273), Ivanti (CVE-2024-21887) y Palo Alto Networks (CVE-2024-3400) para obtener acceso inicial, sin recurrir a fallos de día cero.

El grupo ha atacado enrutadores de núcleo y de borde en proveedores de telecomunicaciones para moverse lateralmente en redes, manipular configuraciones, desviar tráfico y habilitar espejos de datos.

Entre sus tácticas se incluyen:

• Alterar listas de control de acceso (ACLs).
• Abrir puertos estándar y no estándar.
• Crear túneles sobre protocolos existentes.
• Usar herramientas de pivotaje de múltiples saltos.
• Manipular configuraciones de dispositivos.
• Extraer credenciales de tráfico interceptado.
• Eliminar registros para ocultar rastros y deshabilitar el logging.

Además, han modificado configuraciones de servidores para redirigir hacia IPs bajo su control, creado cuentas privilegiadas, abusado de conexiones de peering y utilizado herramientas de monitoreo para persistir en los sistemas.

Un ecosistema de contratistas al servicio del espionaje

De acuerdo con John Hultquist, analista jefe de Google Threat Intelligence Group, los atacantes destacan por su profundo conocimiento de la tecnología, lo que les permite evadir detección y expandirse con rapidez. Señaló también que dependen en gran medida de contratistas chinos, quienes construyen la infraestructura y ejecutan las intrusiones.

Por su parte, Nick Tausek, arquitecto de automatización en Swimlane, subrayó que Salt Typhoon atacó a cientos de organizaciones en más de 80 países solo en 2024, demostrando la magnitud de sus operaciones.

Tausek advierte que, aunque hoy se entiendan mejor sus métodos, la amenaza sigue vigente:

“Salt Typhoon es tan peligroso como siempre, y las organizaciones deben estar preparadas. Seguir las directrices de la NSA y comprender a fondo los accesos de estos actores antes de implementar medidas visibles de respuesta es clave para maximizar las probabilidades de expulsarlos por completo de las redes comprometidas”.

Fuente: https://www.securityweek.com/chinas-salt-typhoon-hacked-critical-infrastructure-globally-for-years