Blog

Jun 11, 2024

Taiwán en el punto de mira de la República Popular China

Los investigadores han dicho a Tech Monitor que la campaña Flax Typhoon muestra un alejamiento del ciberespionaje hacia las "operaciones de información". Por Claudia Glover Evidencias de una campaña de ciberespionaje por parte de chinos

Los investigadores han dicho a Tech Monitor que la campaña Flax Typhoon muestra un alejamiento del ciberespionaje hacia las "operaciones de información".

Por Claudia Glover

Se han descubierto pruebas de una campaña de ciberespionaje por parte de la banda de ciberdelincuentes Flax Typhoon, vinculada al gobierno chino, en docenas de organizaciones en Taiwán, advirtió Microsoft Threat Intelligence. La operación está activa desde mediados de 2021.

Microsoft advirtió que las empresas deberían prestar atención a las técnicas utilizadas por Flax Typhoon, ya que los indicadores de compromiso por parte de la banda de delitos cibernéticos son tan comunes dentro de un sistema que fácilmente se pasan por alto. Los investigadores han señalado además que los ataques del Flax Typhoon muestran una apuesta por una negación plausible por parte de las ciberbandas respaldadas por el Estado y conectadas con el gobierno chino, junto con un cambio en el énfasis del ciberespionaje básico hacia “operaciones de información” más complejas.

La República Popular China continental considera a Taiwán una provincia renegada y anteriormente ha organizado campañas de ciberespionaje y DDoS contra la nación insular. El objetivo de la campaña de Flax Typhoon parece no sólo obtener acceso a datos confidenciales, sino también "mantener el acceso a organizaciones en una amplia gama de industrias durante el mayor tiempo posible", según Microsoft.

Las industrias a las que se dirige Flax Typhoon incluyen la fabricación, la educación, las organizaciones de tecnología de la información y las agencias gubernamentales de Taiwán. Microsoft también señala que empresas han sido atacadas en América del Norte, el Sudeste Asiático y África.

"Flax Typhoon obtiene y mantiene acceso a largo plazo a las redes de organizaciones taiwanesas con un uso mínimo de malware, basándose en herramientas integradas en el sistema operativo, junto con algún software normalmente benigno para permanecer silenciosamente en estas redes", se lee en la publicación. "Microsoft no ha observado que Flax Typhoon utilice este acceso para realizar acciones adicionales".

La compañía explicó que elige resaltar esta actividad ahora para expresar su preocupación por el potencial de un mayor impacto para sus clientes. "Aunque nuestra visibilidad de estas amenazas nos ha dado la capacidad de implementar detecciones para nuestros clientes, la falta de visibilidad de otras partes de la actividad del actor nos obligó a generar una mayor conciencia comunitaria para realizar más investigaciones y protecciones en todo el ecosistema de seguridad", dice el blog. dice.

Ataques como estos indican un alejamiento del ciberespionaje chino de antaño, explica Alan Liska, líder del equipo de respuesta a emergencias informáticas de la empresa de seguridad Recorded Future. "Lo que estamos viendo es una expansión de las operaciones de información chinas, porque todavía existe el espionaje tradicional, pero también se ve ese lado más agresivo", dijo a Tech Monitor.

Esto se combina con una apuesta por una negación plausible dentro de las técnicas de Flax Typhoon, continúa. "Como se puede ver en el informe, están utilizando muchas herramientas listas para usar, que están fácilmente disponibles y que cualquier ciberdelincuente usaría, lo que le da [a la República Popular China] la capacidad de distanciarse un poco de estos ataques", dice Liska. .

La noticia de esta campaña llega inmediatamente después de que otro grupo de cibercrimen chino llamado Volt Typhoon, causó alarma internacional cuando se detectó su malware en diferentes elementos de la infraestructura militar estadounidense. En mayo, las agencias de ciberseguridad de la alianza de inteligencia Five Eyes también publicaron un aviso advirtiendo que Volt Typhoon podría funcionar sin ser detectado en redes cruciales durante largos períodos de tiempo.

Jen Easterly, actual jefa de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), comentó que el ataque Volt Typhoon y otros similares indican un cambio en las tácticas cibernéticas de China del espionaje a la agresión.

"Estamos hablando de décadas de robo de propiedad intelectual y de la mayor transferencia de riqueza intelectual en décadas", afirmó. Sin embargo, el enfoque actual es “menos sobre espionaje y más sobre perturbación y destrucción”, dijo a los delegados en la Cumbre del Instituto de Cultura de Aspen en junio.

La aparición de este tipo de amenazas es la razón por la que la puesta en común de inteligencia sobre amenazas ha aumentado a lo largo de 2023, sostiene Liska. "Vemos mucho más de este tipo de intercambio de información por parte de empresas de seguridad y empresas que tienen un componente de seguridad", afirma. Ya no es aceptable, sostiene Liska, secuestrar nuevos hallazgos sobre grupos como Flax Typhoon o Volt Typhoon detrás de muros de pago. "Hay que hacer que esta información sea de acceso público porque este tipo de ataques al final nos perjudicarán a todos".