Las telecomunicaciones son la base de todo lo que hacemos hoy en día. Desde una simple llamada hasta una transacción bancaria, todo pasa por una red que, aunque no la veamos, está siempre funcionando en segundo plano. Pero aquí está el problema: esa misma infraestructura es un blanco atractivo para los hackers, y ahora sabemos que un grupo de ciberdelincuentes chinos ha logrado infiltrarse en redes de telecomunicaciones en EE.UU.
Se trata de Salt Typhoon, un grupo de piratería patrocinado por el Estado chino que lleva operando desde al menos 2019. También conocido como Earth Estries, GhostEmperor y UNC2286, este grupo ha centrado sus ataques en agencias gubernamentales y empresas de telecomunicaciones. Su última jugada ha sido el uso de una herramienta personalizada llamada JumbledPath, diseñada para monitorear el tráfico de la red de manera sigilosa y potencialmente capturar datos confidenciales.
Las autoridades estadounidenses han confirmado que Salt Typhoon ha logrado violar los sistemas de importantes proveedores de telecomunicaciones, como Verizon, AT&T, Lumen Technologies y T-Mobile.
Con el tiempo, salió a la luz que Salt Typhoon no solo logró infiltrarse en las redes de telecomunicaciones, sino que también espió las comunicaciones privadas de algunos funcionarios del gobierno de EE.UU. y robó información sobre solicitudes de escuchas telefónicas aprobadas por tribunales. Un golpe serio para la seguridad nacional.
La semana pasada, el Grupo Insikt de Recorded Future reveló que este grupo de hackers atacó más de 1,000 dispositivos de red de Cisco, con más de la mitad de los ataques dirigidos a EE.UU., Sudamérica e India, entre diciembre de 2024 y enero de 2025.
Y la historia no termina ahí. Hoy, Cisco Talos publicó más detalles sobre cómo Salt Typhoon logró infiltrarse en grandes empresas de telecomunicaciones en EE.UU., en algunos casos manteniéndose dentro de sus sistemas por más de tres años sin ser detectado. Un ataque de largo plazo que demuestra lo sofisticadas que se han vuelto estas amenazas.
¿Cómo opera Salt Typhoon?: Tácticas y métodos de ataque
Según Cisco, los hackers de Salt Typhoon lograron infiltrarse en la infraestructura de red utilizando principalmente credenciales robadas. A excepción de un caso en el que explotaron una vulnerabilidad específica de Cisco (CVE-2018-0171), no se ha encontrado evidencia de que hayan utilizado otras fallas conocidas o vulnerabilidades de día cero en esta campaña.
"Durante esta campaña no se han descubierto nuevas vulnerabilidades de Cisco", señala el informe de Cisco Talos. Aunque han circulado rumores de que Salt Typhoon podría estar aprovechando otras tres vulnerabilidades de Cisco, la empresa no ha encontrado pruebas que respalden estas afirmaciones.
El gran misterio aquí es cómo lograron robar las credenciales en primer lugar. No está del todo claro, pero lo que sí se sabe es que, una vez dentro, los atacantes ampliaron su acceso extrayendo más credenciales de los dispositivos comprometidos e interceptando tráfico de autenticación (SNMP, TACACS y RADIUS).
¿Cómo se movieron dentro de la red?
Salt Typhoon no solo robó credenciales, sino que también extrajo configuraciones de dispositivos a través de TFTP y FTP, lo que les permitió moverse lateralmente dentro de la red. Estos archivos contenían información clave, como contraseñas encriptadas débilmente, datos de autenticación confidenciales y detalles sobre la estructura de la red. Para mantener su acceso y evitar ser detectados, utilizaron técnicas avanzadas como:
- Saltar entre dispositivos de red para ocultar su rastro.
- Comprometer dispositivos de borde para infiltrarse en redes de telecomunicaciones asociadas.
- Modificar configuraciones de red y habilitar acceso a Guest Shell para ejecutar comandos maliciosos.
- Alterar listas de control de acceso (ACL) para manipular permisos.
- Crear cuentas ocultas dentro del sistema para mantener su acceso incluso si las credenciales robadas eran detectadas y bloqueadas.
Cómo eludir las listas de control de acceso (Fuente: Cisco)
Podría interesarte leer: Volt Typhoon Restaura su Botnet tras Desmantelamiento del FBI
JumbledPath: el malware espía de Salt Typhoon
Uno de los trucos más peligrosos de Salt Typhoon fue su capacidad para monitorear la actividad de la red y robar datos sin ser detectado. Para lograrlo, usaron herramientas de captura de paquetes como Tcpdump, Tpacap y Embedded Packet Capture, pero su arma más sofisticada fue una herramienta personalizada llamada JumbledPath.
Este malware, diseñado en Go y compilado como un binario ELF para sistemas Linux x86_64, estaba hecho a la medida para ejecutarse en una amplia gama de dispositivos de redes de borde, incluyendo switches Cisco Nexus.
Lo realmente astuto de JumbledPath es cómo le permitía a los atacantes capturar datos sin levantar sospechas. Para hacerlo, usaban un jump-host, un sistema intermediario que hacía que las solicitudes de captura parecieran venir de un dispositivo legítimo dentro de la red. En otras palabras, los atacantes podían espiar el tráfico sin revelar su verdadera ubicación, lo que les daba una ventaja enorme para mantenerse ocultos mientras recopilaban información crítica.
Descripción general del manejo de datos de JumbledPath (Fuente: Cisco)
¿Cómo Salt Typhoon se mantuvo oculto y qué hacer para detectarlo?
Además de capturar datos, JumbledPath también tenía una función clave para evitar ser descubierto: podía deshabilitar los registros del sistema y borrar cualquier evidencia de su actividad. Esto hacía que rastrear a los atacantes fuera mucho más difícil, complicando cualquier intento de análisis forense. Para ayudar a detectar este tipo de actividad maliciosa, Cisco recomienda varias medidas de seguridad, como:
- Monitorear conexiones SSH sospechosas, especialmente en puertos no estándar.
- Revisar los registros del sistema, prestando atención a archivos .bash_history que falten o sean anormalmente grandes.
- Estar atento a cambios inesperados en la configuración, que podrían indicar manipulación por parte de un atacante.
En los últimos años, los grupos de amenazas chinos han intensificado sus ataques contra dispositivos de red perimetral. Su estrategia es simple pero efectiva: instalar malware personalizado para espiar comunicaciones, robar credenciales o incluso usar los dispositivos comprometidos como servidores proxy para lanzar ataques contra otros objetivos.
Han apuntado a grandes marcas como Fortinet, Barracuda, SonicWall, Check Point, D-Link, Cisco, Juniper, NetGear y Sophos, utilizando tanto vulnerabilidades de día cero como fallos más antiguos. En muchos casos, los dispositivos fueron comprometidos simplemente porque seguían usando credenciales débiles o filtradas.
La clave para evitar estos ataques: aplicar parches de seguridad a los dispositivos de red tan pronto como haya actualizaciones disponibles. No actualizar es básicamente dejar la puerta abierta para que estos grupos sigan infiltrándose sin esfuerzo.
