Los investigadores han identificado vínculos entre un grupo de ciberdelincuentes, patrocinado por el régimen chino, y una unidad militar en el noroeste de China, que ha estado amenazando la seguridad cibernética de los países vecinos desde 2014.
El grupo RedFoxtrot hace parte de la iniciativa de ciberespionaje de Beijing. Están vinculados con la Unidad 69010 del Ejército Popular de Liberación (EPL), que «probablemente esté interesada en recopilar inteligencia sobre tecnología militar y defensa», según un informe de junio del Grupo Insikt, una división de investigación de la empresa estadounidense de ciberseguridad, Recorded Future.
La unidad 69010, ubicada en Urumqi, capital de la región china de Xinjiang, probablemente también tenga múltiples subordinados asignados principalmente para observar actividades militares a lo largo de la frontera occidental de China, según los investigadores.
Fueron los defectos operativos de un presunto operador de RedFoxtrot los que revelaron la conexión entre la infraestructura operativa de RedFoxtrot y la dirección física del cuartel general de la Unidad 69010 del EPL.
Además, se detectó que el operador anónimo estaba asociado con la antigua Academia de Comando de Comunicaciones del EPL, en Wuhan.
«RedFoxtrot se ha dirigido principalmente a organizaciones aeroespaciales y de defensa, gobiernos, telecomunicaciones, minería e investigación en Afganistán, India, Kazajstán, Kirguistán, Pakistán, Tayikistán y Uzbekistán», dijo el análisis.
También se cree que el grupo vinculado al EPL probablemente empleó conjuntos de malware, comúnmente utilizados por grupos de ciberespionaje chinos, incluidos Icefog, PlugX, Royal Road, Poison Ivy, ShadowPad y PCShare, para secuestrar los sistemas de los usuarios.
Durante la tensión fronteriza entre China e India, también se descubrió que el grupo había atacado a los contratistas de defensa, proveedores de telecomunicaciones y organizaciones gubernamentales de India a través de intrusiones en su red, según el informe.
La actividad de RedFoxtrot se superpone con los grupos de amenazas rastreados por otros proveedores de seguridad como Temp.Trident y Nomad Panda.
El presidente Joe Biden firmó una orden ejecutiva el 12 de mayo que busca prevenir ataques cibernéticos tanto de actores estatales como de ciberdelincuentes, luego de un ciberataque a sistemas informáticos vinculados al principal operador de gasoductos de EE.UU., Colonial Pipeline.
Colonial cerró temporalmente el 7 de mayo, lo que provocó escasez de combustible y aumentó los precios de la gasolina en varios estados de EE.UU.
Únase a nuestro canal de Telegram para recibir las últimas noticias al instante haciendo click aquí
Cómo puede usted ayudarnos a seguir informando
¿Por qué necesitamos su ayuda para financiar nuestra cobertura informativa en Estados Unidos y en todo el mundo? Porque somos una organización de noticias independiente, libre de la influencia de cualquier gobierno, corporación o partido político. Desde el día que empezamos, hemos enfrentado presiones para silenciarnos, sobre todo del Partido Comunista Chino. Pero no nos doblegaremos. Dependemos de su generosa contribución para seguir ejerciendo un periodismo tradicional. Juntos, podemos seguir difundiendo la verdad.
