Documentos filtrados exponen los objetivos de la ciberpiratería china

Un enorme alijo de documentos filtrados de un contratista de piratería chino subraya aún más las amenazas del régimen comunista de China a la ciberseguridad global, dicen los expertos.

Los documentos, que fueron publicados en GitHub por personas desconocidas el 16 de febrero, incluyen manuales de productos, materiales de marketing, listas de empleados, registros de chat, información financiera y detalles sobre la infiltración extranjera.

Associated Press confirmó en un informe del 21 de febrero que los documentos procedían del proveedor de ciberseguridad I-Soon, con sede en China, conocido como Anxun en mandarín, después de hablar con dos de los empleados de la empresa.

Según los documentos, I-Soon cuenta con una línea de productos que incluye herramientas cibernéticas ofensivas y sistemas de software espía. También se incluye en los documentos una lista de contratos que la empresa firmó entre julio de 2016 y junio de 2022, lo que demuestra que la mayoría de sus clientes son las oficinas de seguridad regionales de China. La revelación se suma a lo que se sabe en el sitio web de la empresa, que promociona al Ministerio de Seguridad Pública del PCCh como uno de sus socios.

“El incidente de I-Soon debería recordarle una vez más a todos que la seguridad de la red es seguridad nacional. Hay una guerra sin pólvora y está ocurriendo en el ciberespacio”, dijo la experta en tecnología Chiang Ya-chi a The Epoch Times el 21 de febrero.

La Sra. Chiang es presidenta de la Asociación de Derecho y Tecnología de Taiwán y profesora especializada en tecnología de Internet y derecho de propiedad intelectual en la Universidad Nacional Oceánica de Taiwán.

Los documentos filtrados muestran que I-Soon está financiado por el Partido Comunista Chino (PCCh), dijo la Sra. Chiang, señalando que Beijing utiliza herramientas desarrolladas por empresas como I-Soon para infiltrarse en gobiernos y entidades extranjeras.

En los documentos filtrados se incluye una lista de víctimas que muestra que I-Soon se ha dirigido a empresas de telecomunicaciones, hospitales, universidades, organizaciones y entidades gubernamentales de muchos países. Estas naciones incluyen Francia, Egipto, India, Indonesia, Kazajstán, Malasia, Mongolia, Nepal, Corea del Sur, Taiwán, Tailandia, Filipinas y Vietnam.

Un documento revela que I-Soon cobró más dinero por piratear el Ministerio de Economía de Vietnam que por piratear otros dos ministerios del gobierno vietnamita.

Software espía

Desde el volcado en Internet de la semana pasada, muchos investigadores y expertos han publicado sus análisis sobre los documentos escritos en chino simplificado.

Malwarebytes, una empresa de California que brinda protección cibernética en tiempo real, publicó un análisis de los datos filtrados el 21 de febrero, diciendo que los documentos «brindan una mirada interna a las operaciones que se llevan a cabo en un proveedor líder de software espía y APT-for-alquiler”. APT se refiere a una amenaza persistente avanzada.

El análisis destaca algunos de los productos de I-Soon revelados en los documentos, incluido lo que llama un «ladrón de Twitter».

«Las características [del ladrón de Twitter] incluyen obtener el correo electrónico y el número de teléfono de Twitter del usuario, monitoreo en tiempo real, lectura de mensajes personales y publicación de tweets en nombre del usuario», se lee en el análisis.

En una página de documento, I-Soon se jacta de haber estudiado el mecanismo de seguridad de Twitter durante años; por lo tanto, su producto supuestamente puede eludir las funciones de seguridad para apuntar a la cuenta de un usuario de Twitter.

Los documentos filtrados también revelan el coste del producto “ladrón de Twitter”. Un uso de un año del producto cuesta 700,000 yuanes (alrededor de USD 97,000), y un uso de tres años cuesta 1.5 millones de yuanes (alrededor de USD 208,000).

El análisis de Malwarebytes muestra la siguiente descripción del producto: “Troyanos de acceso remoto (RAT) personalizados para Windows x64/x86: las características incluyen administración de procesos/servicios/registro, shell remoto, registro de teclas, registro de acceso a archivos, obtención de información del sistema, desconexión remota y desinstalación”.

Hay versiones para iOS y Android de las RAT. Según el análisis, el modelo iOS afirma ser compatible con todas las versiones de dispositivos iOS sin jailbreak, con características que van desde información de hardware hasta datos de GPS, contactos, archivos multimedia y registros de audio en tiempo real como extensión.

I-Soon también tiene dispositivos portátiles para «atacar redes desde el interior», afirma.

Según los documentos filtrados, los dispositivos portátiles vienen en dos tamaños diferentes: una versión estándar que puede disfrazarse de batería de teléfono móvil, regleta o adaptador de corriente y una versión mini que puede disfrazarse de placa de circuito impreso.

Las bases de datos de búsqueda de usuarios, que incluyen números de teléfono, nombres y direcciones de correo electrónico de los usuarios, pueden correlacionarse con cuentas de redes sociales, según el análisis de Malwarebytes.

El PCCh puede potencialmente utilizar las bases de datos de búsqueda de usuarios para rastrear y localizar a los disidentes en China. Según los documentos filtrados, se han creado bases de datos para diferentes plataformas chinas, incluidas Weibo, Baidu y WeChat.

Amenazas

Su Tzu-yun, director del Instituto de Investigación de Seguridad y Defensa Nacional con sede en Taiwán, le dijo a The Epoch Times el 21 de febrero que los documentos I-Soon son la evidencia más reciente que respalda las afirmaciones de Estados Unidos y la OTAN de que el régimen chino es una amenaza para su ciberseguridad.

En su concepto estratégico acordado en 2022, la OTAN afirmó que las “operaciones híbridas y cibernéticas maliciosas del régimen y su retórica de confrontación y desinformación apuntan a los aliados y dañan la seguridad de la Alianza”.

A principios de este mes, la Agencia de Seguridad de Infraestructura y Ciberseguridad emitió una advertencia que decía que el PCCh está colocando malware en los sistemas estadounidenses en preparación para un conflicto. La advertencia se produjo pocos días después de que el director del FBI, Christopher Wray, les dijera a los legisladores que una operación de varias agencias había desmantelado “Volt Typhoon”, un importante grupo de piratería patrocinado por el estado con sede en China, que comenzó a atacar una amplia gama de redes en toda la infraestructura crítica de EE.UU. en 2021.

El año pasado, Wray advirtió que los piratas informáticos chinos superan en número a los especialistas cibernéticos estadounidenses en al menos 50 a uno.

Algunos investigadores han sugerido que I-Soon podría tener vínculos con APT41, un grupo de piratería patrocinado por el estado chino, basándose en su análisis a los documentos filtrados.

En 2020, cinco ciudadanos chinos de APT41 fueron acusados de cargos relacionados con campañas de piratería informática para robar secretos comerciales e información confidencial de más de 100 empresas y entidades en todo el mundo. Los cinco individuos están en la lista de buscados del FBI.

La empresa de ciberseguridad Mandiant declaró en un informe de 2022 que APT41 se había aprovechado de vulnerabilidades en los sistemas en Internet de al menos seis gobiernos estatales de EE.UU. para obtener acceso a esas redes.

«La filtración proporciona algunos de los detalles más concretos vistos públicamente hasta la fecha, revelando la naturaleza madura del ecosistema de ciberespionaje de China», dijo la empresa de ciberseguridad SentinelLabs, con sede en California, en su análisis a los datos filtrados de I-Soon, publicado el 21 de febrero.

«Muestra explícitamente cómo los requisitos de orientación del gobierno impulsan un mercado competitivo de piratas informáticos contratados por contratistas independientes».

Chung Yuan contribuyó a este artículo.

Únase a nuestro canal de Telegram para recibir las últimas noticias al instante haciendo click aquí