UNC5174: El actor de amenazas respaldado por China que utiliza herramientas de código abierto para evadir detección
Introducción
Investigadores de Sysdig han identificado una campaña activa del grupo de amenazas UNC5174, asociado a intereses chinos. Este actor está empleando herramientas de hacking de código abierto para mantener un bajo perfil y evitar ser detectado por soluciones de seguridad convencionales. La táctica refleja una tendencia creciente entre los grupos avanzados de amenazas persistentes (APT) para utilizar recursos legítimos en ataques maliciosos.
Metodología y herramientas utilizadas
UNC5174 ha adoptado un enfoque sigiloso basado en herramientas de código abierto ampliamente disponibles. Entre las más destacadas se encuentran:
- Chisel: Un túnel TCP/UDP sobre HTTP diseñado para eludir firewalls y sistemas de detección de intrusiones.
- Rustcat: Una alternativa moderna a Netcat escrita en Rust, que permite comunicaciones cifradas.
- Plink: Una versión portable de PuTTY Link para crear túneles SSH inversos.
- Ngrok: Plataforma para exponer servicios locales a internet mediante túneles seguros.
Técnicas de evasión y persistencia
El grupo emplea múltiples capas de ofuscación:
- Uso de protocolos legítimos (HTTP/HTTPS) para mezclar tráfico malicioso con el normal.
- Implementación de conexiones salientes en lugar de entrantes para evitar reglas de firewall restrictivas.
- Modificación de herramientas existentes para eliminar firmas conocidas por soluciones antivirus.
- Rotación frecuente de infraestructura utilizando servicios en la nube gratuitos.
Objetivos y sectores afectados
Según el informe de Sysdig, UNC5174 ha dirigido sus esfuerzos principalmente contra:
- Empresas tecnológicas con acceso a propiedad intelectual sensible.
- Organizaciones gubernamentales y think tanks vinculados a política exterior.
- Instituciones académicas involucradas en investigación avanzada.
El modus operandi sugiere objetivos de recolección de inteligencia a largo plazo más que ataques disruptivos inmediatos.
Implicaciones para la seguridad
Esta campaña plantea desafíos significativos para los equipos de seguridad:
- Detección compleja debido al uso de herramientas legítimas.
- Necesidad de monitorear comportamientos anómalos más que firmas específicas.
- Importancia de revisar políticas de acceso a servicios en la nube.
- Relevancia de implementar modelos de confianza cero (Zero Trust).
Recomendaciones de mitigación
Para contrarrestar este tipo de amenazas, se recomienda:
- Implementar análisis de comportamiento de red (Network Behavior Analysis).
- Restringir ejecución de binarios no firmados en endpoints críticos.
- Monitorear conexiones salientes inusuales, especialmente a servicios en la nube.
- Actualizar políticas de control de aplicaciones para incluir herramientas de administración remota.
- Segmentar redes para limitar movimiento lateral.
Para más detalles sobre la investigación original, consulta el informe completo en Dark Reading.
Conclusión
La campaña de UNC5174 demuestra la evolución de las tácticas APT hacia métodos más sigilosos que aprovechan herramientas legítimas. Este enfoque requiere que las organizaciones complementen las soluciones tradicionales con capacidades avanzadas de detección de anomalías y una mayor supervisión del tráfico de red. La combinación de herramientas de código abierto modificadas con técnicas de evasión sofisticadas representa un desafío creciente para la comunidad de seguridad.
