Google y Mandiant alertan sobre campaña china de ciberespionaje

Investigadores del Grupo de Inteligencia de Amenazas de Google y de Mandiant identificaron una campaña de ciberespionaje china en la que los atacantes permanecieron infiltrados en redes durante más de un año para extraer información crítica.

El ataque, atribuido al grupo UNC5221, utilizó la puerta trasera BrickStorm, vista por primera vez en 2023 contra MITRE.
Mandiant indicó que ha seguido la campaña desde marzo de 2025 y los sectores afectados incluyen servicios legales, SaaS, tecnología y BPO.

En promedio, los atacantes lograron ocultarse 393 días en las redes. En al menos un caso, explotaron una vulnerabilidad de día cero en un producto de Ivanti.

BrickStorm se ha identificado en dispositivos Linux y BSD, y aunque aún no se ha confirmado, hay reportes que apuntan a una variante para Windows. Por su parte, los atacantes han puesto el foco en entornos VMware vCenter y ESXi, donde logran moverse lateralmente aprovechando credenciales robadas.

Según Charles Carmakal, CTO de Mandiant Consulting, el impacto trasciende el espionaje tradicional, los hackers no solo robaron datos de las víctimas directas, sino también de clientes de proveedores comprometidos. Además, estarían analizando código fuente sustraído para descubrir nuevas vulnerabilidades de día cero en productos empresariales.

Los investigadores, advierten que esta estrategia amplifica el riesgo al crear una cadena de víctimas indirectas, pues las fallas descubiertas podrían ser usadas contra empresas que dependen de esas tecnologías.

No olvides suscribirte a nuestro canal de YouTube y seguirnos a través de nuestras redes sociales (Facebook, X, LinkedIn e Instagram) para estar informado con las noticias más relevantes de tecnología y ciberseguridad. Adicionalmente, conocerás más detalles sobre todos los productos y/o servicios de ciberseguridad que ofrece Quanti para ti.