Google desarticula infraestructura de ciberespionaje vinculada a China tras afectar a 53 organizaciones en 42 países

En una operación conjunta con socios de la industria, Google Threat Intelligence Group (GTIG) y Mandiant anunciaron la interrupción de la infraestructura técnica utilizada por el grupo de amenazas UNC2814 (también conocido como GRIDTIDE). Este actor de ciberespionaje, presuntamente vinculado a intereses estatales chinos, ha mantenido una campaña de infiltración global dirigida principalmente a sectores gubernamentales y de telecomunicaciones.

Según el informe publicado el miércoles, el grupo ha logrado comprometer al menos 53 organizaciones en 42 países de África, Asia y América, con sospechas de infecciones adicionales en otras 20 naciones. Los investigadores señalan que muchas de estas intrusiones podrían haber permanecido activas durante años antes de su detección.

El uso de Google Sheets como canal de control

El pilar central de esta campaña fue el despliegue de un malware novedoso denominado GRIDTIDE. Este sofisticado backdoor basado en lenguaje C utilizaba la API de Google Sheets como canal de comando y control (C2). Al emplear aplicaciones SaaS legítimas para comunicarse, el grupo lograba camuflar el tráfico malicioso entre la actividad normal de la red, dificultando su identificación por parte de los sistemas de seguridad convencionales.

El mecanismo de comunicación operaba mediante celdas específicas dentro de hojas de cálculo:

• Celda A1: Utilizada para recibir comandos del atacante y enviar estados de respuesta.

• Celdas A2 en adelante: Destinadas a la transferencia de datos y salida de comandos.

• Celda V1: Almacenaba información técnica del equipo infectado.

Acciones de mitigación

Como parte de la respuesta, Google ha eliminado todos los proyectos de Google Cloud controlados por los atacantes, deshabilitado las cuentas relacionadas y bloqueado las llamadas a la API de Google Sheets vinculadas a la infraestructura de UNC2814.

"Esta es una de las campañas más ambiciosas e impactantes que hemos encontrado en los últimos años", declararon representantes de Google. La compañía ya ha emitido notificaciones oficiales a todas las víctimas identificadas y está proporcionando soporte técnico para la remediación de los sistemas comprometidos.

Un enfoque en el "borde" de la red

Los analistas detallaron que UNC2814 se especializa en explotar vulnerabilidades en servidores web y sistemas de borde (edge systems), los cuales a menudo carecen de soluciones avanzadas de detección de malware. Una vez dentro, el grupo utilizaba binarios legítimos del sistema (Living-off-the-Land) para escalar privilegios y establecer persistencia, llegando incluso a desplegar puentes de VPN SoftEther para mantener conexiones cifradas hacia el exterior.

Aunque el objetivo principal parece ser el monitoreo de personas de interés y el robo de información de identificación personal (PII), Google señaló que no se observó exfiltración masiva de datos durante el periodo de monitoreo de esta fase específica de la campaña.

Pese al golpe asestado a su infraestructura, los expertos advierten que es probable que UNC2814 intente reconstruir sus capacidades operativas dado su historial de persistencia desde 2017.