En medio de la controversia por el proyecto de cable submarino que busca conectar a Chile con China, un reciente informe de Google reveló la operación de un grupo de ciberespionaje presuntamente vinculado al gobierno chino que habría desplegado actividades en decenas de países, entre ellos Chile.
La investigación fue elaborada por el Grupo de Inteligencia de Amenazas de Google (Google Threat Intelligence Group, GTIG) en conjunto con la firma de ciberseguridad Mandiant y otros socios, quienes indicaron que se adoptaron medidas para desmantelar una campaña global de espionaje dirigida principalmente contra organizaciones gubernamentales y compañías del sector de telecomunicaciones en distintos continentes.
Según el reporte, el grupo identificado como UNC2814 mantiene presuntos vínculos con la República Popular China y ha sido rastreado por los especialistas desde el año 2017. De acuerdo con el análisis, este actor ha protagonizado múltiples ataques contra gobiernos y organizaciones internacionales de telecomunicaciones en África, Asia y América.
El informe señala que, hasta el 18 de febrero, se habían confirmado intrusiones asociadas a este grupo en 53 víctimas ubicadas en 42 países de cuatro continentes, entre los que se incluye Chile dentro de Sudamérica. Asimismo, se detectaron infecciones sospechosas en al menos otras 20 naciones.
En cuanto al mecanismo utilizado para ejecutar las operaciones, los investigadores explicaron que los atacantes empleaban llamadas a la API —interfaz de programación de aplicaciones— para comunicarse con plataformas SaaS (Software como Servicio), utilizando esta infraestructura como sistema de comando y control. De esta forma, el tráfico malicioso podía camuflarse como actividad legítima, dificultando su detección.
La estrategia, detallaron, no dependía necesariamente de vulnerabilidades o fallas de seguridad tradicionales. En cambio, el grupo utilizaba servicios alojados en la nube para operar, logrando que la actividad maliciosa se confundiera con procesos normales de las plataformas.
Ante la detección de la campaña, Google y sus equipos asociados desplegaron una serie de acciones para interrumpir la operación del grupo. Entre ellas se incluyó el cierre de todos los proyectos de Google Cloud controlados por los atacantes, lo que cortó su acceso persistente a los entornos comprometidos mediante una nueva puerta trasera denominada GRIDTIDE.
Las medidas también contemplaron la identificación y desactivación de la infraestructura vinculada a UNC2814, la deshabilitación de cuentas utilizadas por los atacantes y la revocación del acceso a las llamadas API de Google Sheets, herramientas que habrían sido empleadas para tareas de comando y control.
Además, la compañía liberó un conjunto de indicadores de compromiso asociados a la infraestructura del grupo, la cual se estima que estaba activa al menos desde 2023.
Las diligencias que permitieron acelerar la detección del grupo se intensificaron tras una investigación reciente de Mandiant Threat Defense, la cual detectó que UNC2814 estaba utilizando una nueva puerta trasera denominada GRIDTIDE, considerada una herramienta clave en las operaciones del presunto esquema de espionaje.
