Noticias

Google neutraliza una red global de ciberespionaje que utilizaba su servicio de hojas de cálculo

Expertos en ciberseguridad detuvieron una campaña mundial que abusaba de plataformas legítimas en la nube para robar datos de telecomunicaciones.

Compartir
Google neutraliza una red global de ciberespionaje que utilizaba su servicio de hojas de cálculo

Google Threat Intelligence Group y Mandiant acabaron una campaña de ciberespionaje con alcance internacional, dirigida a organizaciones gubernamentales y empresas de telecomunicaciones en cuatro continentes. La operación, atribuida al grupo identificado como UNC2814, habría afectado al menos a 53 víctimas confirmadas en 42 países, mediante tácticas avanzadas para infiltrarse en sus sistemas.

Mecanismo de ciberespionaje a través de una interfaz de programación de Google Sheets

Los atacantes desarrollaron una puerta trasera conocida como GRIDTIDE. En este caso, no se describe una explotación de vulnerabilidades, sino el abuso de funciones normales de la interfaz de programación de aplicaciones de Google Sheets con la idea de camuflar el tráfico.

GRIDTIDE es un malware basado en C desarrollado por el grupo UNC2814, vinculado a China, que permite ejecutar comandos shell arbitrarios, subir y descargar archivos en sistemas comprometidos. Se despliega como un binario disfrazado (ej. /var/tmp/xapt o /usr/sbin/xapt) con persistencia vía servicios systemd como xapt.service.

El esquema ilustra cómo opera la puerta trasera GRIDTIDE al comunicarse directamente con la infraestructura en la nube. El código malicioso utiliza una llave de configuración para autenticarse en Google Sheets y leer comandos en celdas específicas, transfiriendo información robada hacia los ciberdelincuentes. | Créditos: Google Cloud

El código malicioso usa la hoja de cálculo como un canal de comunicación de ida y vuelta. Lee instrucciones desde celdas específicas y guarda información sustraída en otras, con el objetivo de pasar desapercibido frente a controles corporativos.

La idea de lo que hacían los atacantes chinos se resume en el siguiente ejemplo:

  • Dos espías se comunican dejando mensajes ocultos en un libro de visitas público de un museo.
  • Los guardias observan a los visitantes escribir con normalidad, porque la actividad parece habitual.
  • Sin embargo, esas líneas “inofensivas” contienen instrucciones y datos relevantes camuflados como saludos comunes.
El diagrama detalla el ciclo inicial donde el grupo UNC2814 compromete un dispositivo perimetral para alcanzar el punto final de la red. Una vez dentro del sistema, los atacantes despliegan la puerta trasera GRIDTIDE y establecen persistencia para ejecutar comandos o extraer datos mediante hojas de cálculo. | Créditos: Google Cloud

Acciones de mitigación y neutralización de la infraestructura maliciosa

El equipo especializado mitigó el ataque al eliminar los entornos en la nube controlados por el grupo y al revocar las credenciales de los documentos usados para coordinar las intrusiones.

Con estas medidas se bloqueó el acceso persistente a las redes y se redujo el riesgo sobre datos expuestos, como información de identificación personal y registros de llamadas.

El mapa ilustra el alcance global de la campaña de ciberespionaje con las zonas afectadas marcadas en rojo. Se identificaron decenas de víctimas confirmadas y múltiples infecciones sospechosas en países de cuatro continentes distintos. | Créditos: Google Cloud
Ivan

Editor especializado en ciencia y tecnología, con foco en innovación, inteligencia artificial, telecomunicaciones y centros de datos. Trabajo con un enfoque riguroso y técnico, desarrollando contenidos sobre semiconductores, energía, ciberseguridad e infraestructura tecnológica.

Los comentarios de Disqus están cargando....
Publicado por
Ivan
Tags: CiberespionajeciberseguridadGooglegoogle cloudGoogle Sheetsmalware
3 minutos

Noticias relacionadas