WeChat como trampa: una discreta empresa de TI resultó ser un nido de espías digitales

El 29 de enero, el grupo internacional Intelligence Online , que monitorea las actividades de los servicios de inteligencia en distintos países, reveló la conexión entre una empresa china de Chengdu y una serie de ciberataques dirigidos contra uigures y tibetanos. La compañía resultó ser contratista del Ministerio de Seguridad Pública de China.

A primera vista, Sichuan Dianke Network Security Technology (UPSEC) y su filial Chengdu Anmo Technology parecen una firma tecnológica convencional: cuenta con 150 ingenieros, de los cuales el 90 % trabaja en investigación y desarrollo. La empresa se presenta como un modesto proveedor de servicios para la policía y socio de instituciones científicas.

Sin embargo, detrás de esta fachada se esconde un desarrollador de potentes herramientas de intrusión en sistemas informáticos. Fundada en 2018, UPSEC mantiene estrechos vínculos técnicos y laborales con el grupo de hackers Earth Minotaur, previamente identificado por expertos de la empresa Trend Micro.

En diciembre de 2024, Trend Micro publicó un informe detallado sobre cómo Earth Minotaur utiliza el conjunto de herramientas MOONSHINE para infiltrarse en computadoras. A través de este software, los atacantes instalan un backdoor llamado DarkNimbus, dirigido a usuarios del servicio de mensajería WeChat en dispositivos con Android y Windows, principalmente aquellos pertenecientes a minorías étnicas.

DarkNimbus se infiltra profundamente en los dispositivos infectados y extrae información personal. Copia listas de contactos, registros de llamadas, mensajes SMS, datos del portapapeles, marcadores del navegador y conversaciones en múltiples aplicaciones de mensajería. Además, puede grabar llamadas telefónicas, tomar fotografías, hacer capturas de pantalla y ejecutar comandos en el dispositivo comprometido.

Los investigadores de Trend Micro lograron identificar las direcciones IP de las víctimas en registros del servidor utilizados por el grupo de hackers. La mayoría de los dispositivos atacados estaban en China, pero también se encontraron rastros en América del Norte y Europa, especialmente en Francia. Para infectar dispositivos fuera de China, los atacantes utilizaron enlaces de phishing disfrazados de páginas con videoclips de música tibetana y uigur.

Intelligence Online consiguió vincular DarkNimbus con UPSEC a través de varias pistas técnicas. Analizando las direcciones IP desde las que operaba el malware, los analistas rastrearon el dominio "aninfosec[.]cn", propiedad de Chengdu Anmo Technology. También descubrieron que DarkNimbus se comunicaba con el dominio "git[.]upsec[.]net", que pertenece directamente a UPSEC y enlaza con su sitio oficial.

UPSEC no oculta sus vínculos con el Ministerio de Seguridad Pública ni con sus numerosas divisiones en toda China. La empresa se dedica tanto a la protección de datos como a operaciones ofensivas, operando bajo un modelo de integración entre el sector privado y la educación. Es decir, las instituciones tienen acceso a desarrollos científicos y talento joven, mientras que las universidades se benefician de proyectos y tecnologías del mundo real. Este tipo de colaboración permitió a UPSEC asociarse con el Centro de Investigación en Tecnologías de Seguridad Pública de la Universidad de Ciencia Electrónica y Tecnología de China. Fruto de esta cooperación se crearon dos laboratorios especializados en ciberseguridad: Kongming y Yufeng.

La sede de UPSEC se encuentra en la zona de alta tecnología de Chengdu, en proximidad con Sichuan Silence Information Technology Co., una empresa que el mes pasado fue sancionada por la Oficina de Control de Activos Extranjeros (OFAC) de EE.UU.

En esta misma zona operan Chengdu 404 Network Technology, a la que el Departamento de Justicia de EE.UU. vincula con el grupo de hackers APT41 (también conocido como Barium, Winnti, Wicked Panda y Double Dragon), así como i-Soon, una firma especializada en ciberataques que sufrió una filtración masiva de datos a principios de 2023.

Cuando los periodistas de Intelligence Online intentaron obtener comentarios sobre los hallazgos de su investigación, UPSEC ignoró todas las solicitudes.

El caso de UPSEC expone cómo en China las empresas tecnológicas privadas, las instituciones científicas y las agencias gubernamentales están profundamente interconectadas en el desarrollo y aplicación de herramientas de vigilancia y control en el ciberespacio.