Rellenó una hoja de cálculo y comprometió a todo un país: Google Sheets se ha convertido en la principal herramienta de espionaje de China
Tras diez años, Google por fin detecta a los hackers que le habían pasado desapercibidos.
Una campaña internacional de ciberespionaje que durante años permaneció en la sombra de pronto se hizo visible en decenas de países. La corporación Google, junto con la empresa Mandiant, informó sobre la interrupción de una operación a gran escala del grupo UNC2814, vinculado a China. Los ataques afectaron a empresas de telecomunicaciones y a organismos estatales en todo el mundo.
Según el equipo Google Threat Intelligence Group, durante la investigación se confirmaron 53 intrusiones en 42 países en cuatro continentes. Se detectaron rastros de actividad en al menos otros 20 estados. El grupo actúa desde hace al menos diez años, y los especialistas de Google lo siguen desde 2017. La empresa subraya que UNC2814 no está vinculada con la campaña descrita anteriormente Salt Typhoon y emplea métodos distintos.
El principal instrumento de los ataques fue un módulo malicioso hasta entonces desconocido llamado GRIDTIDE. Es una puerta trasera oculta, escrita en lenguaje C, que permite ejecutar comandos en la máquina infectada y subir y descargar archivos. El control se realizaba de manera inusual. En lugar de servidores habituales, los atacantes usaban las hojas del servicio Google Sheets como canal de comunicación. El malware enviaba y recibía órdenes mediante llamadas a la interfaz de programación de aplicaciones, camuflando el tráfico como actividad normal del servicio en la nube.
Así, los atacantes no explotaron vulnerabilidades en productos de Google, sino que abusaron de funcionalidades legítimas de la infraestructura en la nube. El tráfico parecía consultas estándar al servicio de hojas, lo que dificultaba su detección.
Uno de los episodios de la investigación comenzó con una alerta en un servidor que ejecutaba CentOS. Los analistas encontraron un ejecutable sospechoso /var/tmp/xapt, que iniciaba un intérprete de comandos con privilegios de administrador y comprobaba si se había obtenido el control total del sistema. El nombre xapt probablemente se eligió para disfrazarlo como la utilidad del sistema apt, conocida en distribuciones basadas en Debian.
Tras afianzarse en la red, los atacantes se desplazaban entre servidores mediante SSH, escalaban privilegios y configuraban el inicio persistente de GRIDTIDE a través de un servicio del sistema. Para la conexión cifrada hacia el exterior empleaban SoftEther VPN Bridge. Los datos de configuración indican que el grupo utiliza esa infraestructura desde 2018.
En uno de los casos, el código malicioso se colocó en un nodo donde se almacenaban datos personales. Se trataba del nombre completo, número de teléfono, fecha y lugar de nacimiento, número de identificación y número de registro electoral. Ese interés por la información sobre personas concretas es característico del ciberespionaje en el ámbito de las comunicaciones. Operaciones similares en el pasado han dado lugar al robo de datos de llamadas, interceptación de SMS no cifrados y al abuso de sistemas de escuchas legales.
El propio GRIDTIDE operaba según un esquema claro. Tras iniciarse, limpiaba las primeras filas de la hoja para eliminar comandos antiguos, luego recopilaba información del sistema, incluido el nombre de usuario, parámetros del sistema operativo y la dirección IP local, y la escribía en una celda concreta. Los comandos llegaban por una celda, y los datos se transmitían mediante un rango de otras. Para ocultar el contenido se empleaba una codificación Base64 modificada.
En respuesta, Google desactivó todos los proyectos en la nube que los atacantes controlaban, privándolos de acceso persistente a los entornos infectados. Junto con socios, la empresa bloqueó la infraestructura conocida UNC2814 y confiscó los dominios utilizados. Se anularon las cuentas de los atacantes y el acceso a la interfaz de Google Sheets para controlar las máquinas infectadas. Las organizaciones cuyos sistemas se identificaron como comprometidos recibieron notificaciones.
Además, se publicó un conjunto de indicadores de compromiso relacionados con la infraestructura del grupo desde 2023. Google considera que una red de acceso a tal escala se formó durante años y que no será fácil restablecerla rápidamente. Al mismo tiempo, la empresa espera que UNC2814 intente reconstruir su presencia.