Un grupo de hackers vinculado a China, conocido como Earth Estries, ha estado utilizando un malware llamado GhostSpider, una puerta trasera nunca antes documentada, para atacar empresas de telecomunicaciones en el sudeste asiático.
Según Trend Micro, que describe a este grupo como una de las amenazas persistentes avanzadas (APT) más agresivas, los ataques no solo han utilizado GhostSpider, sino también otra herramienta maliciosa llamada MASOL RAT (o Backdr-NQ), diseñada para infiltrarse en sistemas Linux, principalmente en redes gubernamentales de la región.
Hasta ahora, se cree que Earth Estries ha logrado hackear con éxito más de 20 organizaciones, desde empresas de telecomunicaciones y tecnología hasta sectores de transporte, química, consultoría, agencias gubernamentales e incluso ONGs. La magnitud de sus operaciones deja claro que no son amateurs, sino una seria amenaza global.
Ataques Globales: Los Países y Sectores Afectados por Earth Estries
Se han detectado víctimas de ataques en más de una docena de países, incluidos Afganistán, Brasil, India, Indonesia, Malasia, Pakistán, Filipinas, Sudáfrica, Taiwán, Tailandia, Estados Unidos y Vietnam, entre otros.
El grupo detrás de estos ataques, conocido como Earth Estries, comparte características con otros colectivos cibernéticos rastreados bajo nombres como FamousSparrow, GhostEmperor, Salt Typhoon y UNC2286. Activo desde al menos 2020, este grupo ha utilizado una variedad de herramientas de malware para atacar redes de telecomunicaciones y entidades gubernamentales en regiones como Estados Unidos, Asia-Pacífico, Oriente Medio y África.
Se estima que han logrado infiltrarse en más de una docena de empresas de telecomunicaciones solo en Estados Unidos, comprometiendo los datos de al menos 150 víctimas que ya han sido notificadas al gobierno estadounidense. La escala de sus operaciones refleja su capacidad para llevar a cabo ataques dirigidos y persistentes en sectores críticos a nivel global.
Entre las herramientas más potentes que este grupo tiene en su arsenal se encuentran el rootkit Demodex y Deed RAT (también conocido como SNAPPYBEE), que se considera un sucesor del infame ShadowPad, ampliamente usado por otros grupos de hackers chinos. Además, emplean una variedad de backdoors y ladrones de información, como Crowdoor, SparrowDoor, HemiGate, TrillClient y Zingdoor, diseñados para robar datos y garantizar acceso remoto a las redes comprometidas.
Para infiltrarse en sus objetivos, suelen aprovechar vulnerabilidades conocidas (N-day) en plataformas populares. Entre ellas están fallas en Ivanti Connect Secure (CVE-2023-46805 y CVE-2024-21887), Fortinet FortiClient EMS (CVE-2023-48788), Sophos Firewall (CVE-2022-3236) y Microsoft Exchange Server (como las vulnerabilidades de ProxyLogon: CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065). Estas brechas les permiten obtener acceso inicial a redes y abrir la puerta a sus operaciones maliciosas.
Los ataques de este grupo suelen ser el primer paso para desplegar malware personalizado como Deed RAT, Demodex y ghostspider, diseñados para llevar a cabo espionaje cibernético a largo plazo.
“Earth Estries es un grupo bien organizado con una estructura clara y una división precisa del trabajo”, explicaron los investigadores de seguridad Leon M Chang, Theo Chen, Lenart Bermejo y Ted Lee. “Por lo que hemos observado en varias campañas, creemos que los ataques en diferentes regiones e industrias son ejecutados por equipos separados dentro del grupo”.
Además, señalaron que la infraestructura de comando y control (C2) que utilizan las puertas traseras parece estar administrada por distintos equipos, lo que evidencia lo complejas y bien coordinadas que son las operaciones de Earth Estries.
En particular, ghostspider se destaca como una herramienta avanzada y modular, capaz de comunicarse con los servidores de los atacantes a través de un protocolo personalizado protegido con cifrado TLS. Este malware incluso puede descargar módulos adicionales para ampliar sus capacidades según lo necesiten los hackers.
“Los ataques de Earth Estries son sigilosos y meticulosos. Suelen comenzar con dispositivos periféricos y luego se extienden a entornos de nube, lo que hace que sean muy difíciles de detectar”, comentó Trend Micro en su análisis.
"Usan una variedad de tácticas para construir redes operativas que les permiten esconder sus actividades de espionaje de manera muy efectiva. Esto demuestra lo sofisticados que son a la hora de infiltrarse y espiar objetivos sensibles".
Las empresas de telecomunicaciones han sido un blanco frecuente de varios grupos de hackers relacionados con China, como Granite Typhoon y Liminal Panda, que han intensificado sus ataques en los últimos años.
Podría interesarte leer: Análisis de Malware con Wazuh
Conclusión
GhostSpider es, sin duda, una amenaza seria en el mundo de la ciberseguridad en este momento. Su sofisticación y habilidad para adaptarse a diferentes entornos lo convierten en una herramienta peligrosa tanto para el espionaje como para el sabotaje. Aunque todo apunta a que está respaldado por actores estatales chinos, su impacto ya se está sintiendo a nivel global. La clave para protegerse está en reforzar la seguridad: implementar medidas sólidas, capacitar al personal y mantenerse al día con las últimas amenazas.
