Entraron, inspeccionaron y se quedaron cinco años: así es la «hospitalidad» en las redes de los ministerios de defensa.
Los dueños ni siquiera sospechaban que les habían cambiado las cerraduras de sus oficinas hace tiempo.
Los especialistas de Palo Alto Networks identificaron una extensa campaña de ciberespionaje dirigida contra organizaciones militares de países del Sudeste Asiático. La actividad se atribuye a un grupo que, según se supone, opera desde China. La operación, designada CL-STA-1087, continúa al menos desde 2020 y se caracteriza por su sigilo y la recolección selectiva de inteligencia.
El ataque salió a la luz tras la implementación de un sistema de monitoreo que registró comandos sospechosos de PowerShell dentro de la red de uno de los objetivos. El análisis mostró que los atacantes se afianzaron en la infraestructura mucho antes de ser detectados y pudieron mantener el acceso durante meses sin mostrar actividad. Los scripts maliciosos se ejecutaban con retrasos de varias horas y establecían conexión con servidores de control.
Tras un periodo de latencia el grupo reanudó sus actividades y empezó a moverse por la red. Para ello utilizaron herramientas legítimas de Windows, incluidas WMI y .NET, lo que dificultó su detección. Fueron afectados controladores de dominio, servidores y estaciones de trabajo, incluidos equipos de nivel directivo. Para persistir, los atacantes registraron bibliotecas maliciosas en los servicios del sistema y emplearon el secuestro de DLL.
Dos backdoors, AppleChris y MemFun, jugaron un papel clave en el ataque. El primero proporcionaba control remoto completo sobre el sistema, incluyendo la ejecución de comandos, la gestión de archivos y la creación de procesos ocultos. El segundo operaba principalmente en memoria, evitando escribir en el disco, y cargaba módulos según las necesidades de la operación. Ambos instrumentos empleaban un mecanismo no estándar para obtener las direcciones de los servidores de control a través de servicios públicos como Pastebin, lo que permitía cambiar la infraestructura de forma flexible.
Además, los atacantes usaban una versión modificada de una utilidad de robo de credenciales denominada Getpass. El programa extraía contraseñas y hashes de la memoria del sistema y los guardaba en un archivo que se hacía pasar por una base de datos del sistema.
El objetivo de la campaña no fue la recolección masiva de información, sino la búsqueda selectiva de documentos relacionados con capacidades militares, la estructura del mando y la cooperación con ejércitos occidentales. El análisis de la actividad indicó que las operaciones se llevaban a cabo en horario laboral en la zona horaria UTC+8, coincidente con el horario de China. Indicadores adicionales, como el uso de infraestructura en la nube china y elementos de la interfaz en chino simplificado, refuerzan esa hipótesis.
Según los especialistas, CL-STA-1087 demuestra un alto nivel de preparación y paciencia. El grupo establece una presencia a largo plazo en las redes de sus objetivos y oculta cuidadosamente sus huellas, lo que convierte a la campaña en una de las más persistentes de la región en los últimos años.