Hackers chinos usan ArcGIS Server como puerta trasera durante más de un año

Un grupo de hackers vinculados al Estado chino, conocido como Flax Typhoon (también Ethereal Panda o RedJuliett), ha mantenido acceso persistente a servidores ArcGIS por más de un año gracias a una puerta trasera oculta. Según un informe de ReliaQuest, los atacantes modificaron un componente Java del servidor, llamado Java Server Object Extension (SOE), para convertirlo en una web shell controlada exclusivamente por ellos mediante una clave codificada, dificultando su detección y eliminación incluso tras restaurar el sistema. Esta puerta trasera permitía a los atacantes ejecutar comandos remotamente, descubrir la red interna y mantener acceso persistente mediante la subida de un archivo malicioso disfrazado de SoftEther VPN en el sistema, que establecía un túnel VPN oculto para simular una conexión local. Este acceso les facilitaba moverse lateralmente dentro de la red y exfiltrar información sensible sin ser detectados por los sistemas tradicionales de monitoreo. La campaña, activa durante más de 12 meses, muestra la sofisticación y sigilo de actores estatales chinos que aprovechan herramientas legítimas para burlar la seguridad corporativa y estatal. Flax Typhoon ha desarrollado esta técnica para asegurar control duradero y acceso oculto a infraestructuras críticas y portales públicos. Expertos en ciberseguridad recomiendan revisar minuciosamente servidores ArcGIS expuestos, auditar extensiones personalizadas y aplicar medidas de protección para evitar que este tipo de ataques duren tanto tiempo y provoquen daños severos en organizaciones gubernamentales y privadas.