El FBI y el Departamento de Justicia (DOJ) eliminaron malware vinculado a China de más de 4200 computadoras estadounidenses en una operación autorizada por la corte dirigida a grupo de hackers patrocinado por Beijing.
La operación autorizada por la corte, realizada con la policía francesa y la empresa de ciberseguridad Sekoia.io, tuvo como objetivo una variante del malware PlugX distribuida por hackers respaldados por el Partido Comunista Chino.
Según documentos judiciales del Distrito Este de Pensilvania, el grupo de hackers conocido como «Mustang Panda» o «Twill Typhoon» utilizó PlugX para infiltrarse y controlar computadoras específicas, robando información de los sistemas infectados.
Las autoridades declararon en documentos judiciales que el régimen chino pagó a este grupo para desarrollar e implementar el malware como parte de campañas más amplias de intrusión informática.
El FBI dijo que detectó las actividades del malware desde al menos 2012.
Un investigador del FBI dijo que el malware se propagó a través del puerto USB de una computadora infectando los dispositivos USB conectados y potencialmente propagándose a otras computadoras con Windows que luego se conectaron al dispositivo.
El malware permanece en la máquina infectada y, a través de la clave de registro que genera, la aplicación PlugX se ejecutará automáticamente al iniciar la computadora, según un expediente judicial.
Una vez que la computadora objetivo se conecta a Internet, el malware puede emitir comandos de forma remota para obtener detalles sobre la computadora víctima, como su dirección IP única, lo que le permite determinar la ubicación física de la computadora, así como cargar, descargar, mover y eliminar archivos.
El malware parece haber interactuado con más de 45,000 direcciones IP de EE. UU. desde septiembre de 2023, indica el documento.
La operación, que se desarrolló entre agosto de 2024 y enero, dio como resultado la eliminación del malware PlugX de aproximadamente 4258 computadoras y redes con sede en Estados Unidos, dijeron las agencias. El FBI obtuvo una serie de órdenes judiciales que autorizaban el acceso remoto y la eliminación del malware de los dispositivos infectados.
Según las agencias, el grupo Mustang Panda ha estado activo al menos desde 2014, y sus ataques no solo han afectado a víctimas estadounidenses, sino también a gobiernos europeos y asiáticos, empresas y grupos de disidentes chinos. Muchos propietarios de ordenadores infectados desconocían la presencia del malware en sus sistemas.
La operación de hackeo tuvo como objetivo varias entidades, incluidas compañías navieras europeas en 2024, varios gobiernos europeos entre 2021 y 2023 y varios gobiernos del Indo-Pacífico, como Taiwán, Hong Kong, Japón, Corea del Sur, Mongolia, India, Birmania (Myanmar), Indonesia, Filipinas, Tailandia, Vietnam y Pakistán.
El investigador ha identificado al menos cinco distritos federales afectados por el malware, incluido el Distrito Este de Pensilvania.
La última operación de las autoridades para eliminar el malware tuvo lugar el 3 de enero.
La fiscal federal Jacqueline Romero, del Distrito Este de Pensilvania, dijo que el ataque fue «de amplio alcance» y «a largo plazo», y afectó a miles de computadoras, incluidas las computadoras domésticas de los estadounidenses.
Ella dijo que esos actos descarados demuestran «la imprudencia y agresividad de los hackers patrocinados por el Estado de la República Popular China», según una declaración del 14 de enero, en referencia al nombre oficial de la China comunista, la República Popular China.
Ella dijo que los esfuerzos para eliminar el malware demuestran el compromiso del Departamento de Justicia con «un enfoque de ‘toda la sociedad’ para proteger la ciberseguridad de Estados Unidos».
Esta operación sigue a esfuerzos recientes similares por parte de las fuerzas de seguridad de Estados Unidos para interrumpir las amenazas cibernéticas de grupos de hackers chinos y rusos.
A principios de enero, Estados Unidos sancionó a una empresa china de ciberseguridad con sede en Beijing, Integrity Technology Group, por su papel en la campaña de hackeo de otro grupo cibernético chino, Flax Typhoon.
Salt Typhoon, un grupo independiente chino de hackers, se ha infiltrado en docenas de países y ha atacado a importantes empresas de telecomunicaciones como AT&T y Verizon.
El mes pasado, hackers chinos irrumpieron en el Departamento del Tesoro y robaron documentos de sus estaciones de trabajo.
Según el comunicado de prensa, el FBI está en proceso de notificar a los propietarios de computadoras estadounidenses afectadas a través de sus proveedores de servicios de Internet. La agencia alienta a las personas que creen que sus computadoras podrían haber sido atacadas que se comuniquen con el Centro de Quejas de Delitos en Internet del FBI o con su oficina local del FBI.
Las autoridades también recuerdan a los estadounidenses que mantengan actualizado su software antivirus y apliquen actualizaciones de seguridad para evitar la reinfección.
El FBI «continúa monitoreando la actividad de intrusión informática de Mustang Panda», señala el comunicado.
Únase a nuestro canal de Telegram para recibir las últimas noticias al instante haciendo clic aquí
Cómo puede usted ayudarnos a seguir informando
¿Por qué necesitamos su ayuda para financiar nuestra cobertura informativa en Estados Unidos y en todo el mundo? Porque somos una organización de noticias independiente, libre de la influencia de cualquier gobierno, corporación o partido político. Desde el día que empezamos, hemos enfrentado presiones para silenciarnos, sobre todo del Partido Comunista Chino. Pero no nos doblegaremos. Dependemos de su generosa contribución para seguir ejerciendo un periodismo tradicional. Juntos, podemos seguir difundiendo la verdad.
