Un nuevo informe de la firma de ciberseguridad ReliaQuest ha revelado una campaña de ciberespionaje sofisticada y sigilosa atribuida al grupo de amenazas chino Flax Typhoon (también conocido como Ethereal Panda y RedJuliett). Los atacantes lograron comprometer un servidor ArcGIS expuesto públicamente y lo transformaron en una puerta trasera persistente durante más de un año, sin ser detectados.
Ingeniería ofensiva con herramientas legítimas
En lugar de aprovechar vulnerabilidades clásicas, Flax Typhoon recurrió a una estrategia más sigilosa: modificaron una extensión del servidor Java de ArcGIS (SOE - Server Object Extension) para convertirla en una web shell encubierta. Esta técnica les permitió ejecutar comandos directamente desde el portal público del servidor mediante operaciones REST estándar, haciéndose pasar por tráfico legítimo.
El acceso estaba controlado mediante una clave codificada (hardcoded key) que evitaba interferencias externas, incluso de administradores del sistema.
Persistencia a prueba de reinstalaciones
Para garantizar el acceso a largo plazo, los atacantes:
-
Insertaron el SOE malicioso en las copias de seguridad del sistema, asegurando su restauración incluso tras un formateo.
-
Subieron una versión renombrada del ejecutable de SoftEther VPN ("bridge.exe") al directorio
System32, creando un servicio de Windows llamadoSysBridgepara ejecutarlo automáticamente al iniciar. -
Establecieron un túnel VPN encubierto mediante conexiones HTTPS salientes hacia un servidor remoto bajo su control, simulando ser parte de la red interna.
Este método permitió a los atacantes eludir la monitorización de red y realizar movimientos laterales sin levantar sospechas.
Compromiso de credenciales y escalada de privilegios
Durante el ataque, Flax Typhoon comprometió estaciones de trabajo de personal de IT, accedió a credenciales privilegiadas y fue capaz de restablecer contraseñas de cuentas administrativas, consolidando su control sobre el entorno comprometido.
Un recordatorio sobre el abuso de funciones legítimas
Más que una vulnerabilidad de software, el ataque explotó una debilidad en las prácticas de seguridad del sistema objetivo, como contraseñas débiles y falta de monitoreo efectivo. Según ReliaQuest, este enfoque demuestra que los grupos avanzados ya no dependen exclusivamente de exploits: si pueden lograr el mismo efecto usando herramientas legítimas y acceso básico, lo harán.
Esto resalta una tendencia creciente: el abuso de funcionalidades confiables para evadir la detección, especialmente mediante técnicas de living-off-the-land (LotL), donde los atacantes aprovechan software y utilidades ya presentes en el entorno para moverse con sigilo.
Reflexiones para desarrolladores y equipos DevOps
Para quienes trabajamos en desarrollo de plataformas web o administración de infraestructuras, este caso ofrece varias lecciones clave:
-
No basta con aplicar parches de seguridad: un sistema sin vulnerabilidades conocidas aún puede ser explotado si las prácticas de gestión (como contraseñas, backups y permisos) son laxas.
-
Auditar extensiones personalizadas es fundamental: cualquier componente que ejecute código, como las SOE en ArcGIS, puede ser una puerta trasera si no se controla adecuadamente.
-
La visibilidad del tráfico de red y el análisis de comportamiento son más importantes que nunca, ya que los atacantes usan canales cifrados y técnicas que imitan tráfico legítimo.