Cisco Talos atribuye a un nuevo grupo chino, UAT-8302, ciberespionaje contra gobiernos de Sudamérica y Europa del Este. La campaña, activa al menos desde finales de 2024, ha desplegado familias de malware personalizadas compartidas entre dos teatros de operaciones geopolíticamente distantes. La atribución técnica no deja lugar a dudas, aunque Pekín, como es habitual, guarda silencio.
Le adelanto que no estamos ante un grupo oportunista. UAT-8302 opera con tradecraft digital meticuloso: reconocimiento largo, movimientos laterales cuidadosos y una compartimentación que sugiere recursos estatales. Lo he visto antes en grupos como APT31 o Volt Typhoon. La paciencia es la marca de la casa cuando el atacante responde al Ministerio de Seguridad del Estado chino.
Anatomía de UAT-8302: malware a medida y doble teatro
El grupo utiliza al menos tres familias de malware diseñadas específicamente para estas campañas. No son herramientas recicladas de foros clandestinos. Según el análisis de Cisco Talos, cada implante está adaptado a la arquitectura de red de las víctimas y a los sistemas operativos locales. En Sudamérica, los objetivos han sido ministerios de Economía y Hacienda; en Europa del Este, agencias de seguridad fronteriza. El patrón es consistente: infiltrarse, mapear, exfiltrar información clasificada y mantener la persistencia durante meses sin ser detectado.
La comunicación con los servidores de mando y control (CnC) emplea técnicas de ofuscación avanzadas, incluyendo cifrado asimétrico y saltos entre infraestructura comprometida en terceros países. Esto dificulta la atribución rápida y, sobre todo, la contrainteligencia activa. UAT-8302 prioriza la discreción sobre la velocidad, una seña de identidad de las operaciones del MSS chino cuando el objetivo es inteligencia estratégica, no sabotaje.
Un detalle técnico relevante: el malware comparte fragmentos de código entre las campañas sudamericana y europea, pero los vectores de entrada varían. En Sudamérica explotó vulnerabilidades en pasarelas de correo corporativas; en Europa del Este, el punto de entrada fue un proveedor de servicios gestionados. La reutilización de código es un indicador clásico de autoría común y ha sido clave en la atribución de Talos.
Eso sí, el despliegue en dos regiones tan dispares plantea una pregunta incómoda. ¿Estamos ante una sola célula con capacidad de proyección global o ante dos equipos coordinados por un mismo mando? Me inclino por lo segundo. La logística de mantener persistencia en redes gubernamentales de Paraguay y de los Balcanes simultáneamente exige equipos diferenciados, aunque compartan doctrina y arsenales.
El ecosistema APT chino: MSS, PLA y la doctrina del espionaje persistente
Para entender a UAT-8302 hay que mirar el tablero completo. China mantiene una constelación de grupos APT —Amenazas Persistentes Avanzadas— vinculados a distintas agencias estatales. El MSS (Ministerio de Seguridad del Estado) se ocupa tradicionalmente del espionaje exterior y la vigilancia de disidentes en el extranjero. El Ejército Popular de Liberación, a través de sus unidades de guerra electrónica, maneja operaciones más agresivas. Y luego están los grupos que orbitan alrededor de empresas de seguridad privadas chinas con conexiones estatales difusas.
UAT-8302 encaja en el perfil del MSS: foco en información gubernamental, paciencia operativa, evitación del daño colateral que pueda generar incidentes diplomáticos graves. No es un grupo de sabotaje al estilo de Volt Typhoon —que atacó infraestructuras críticas en Estados Unidos— ni un equipo de robo de propiedad intelectual industrial. Es un grupo de inteligencia pura. La materia prima que busca son cables diplomáticos, evaluaciones de amenazas internas, posiciones negociadoras.
El ciberespionaje chino ha dejado de ser un problema de Washington: es un problema de todos los gobiernos con algo que Pekín quiera leer.
He seguido de cerca la evolución de los grupos APT chinos desde que escribí sobre ciberguerra en El quinto elemento. Entonces advertí que el próximo 11S empezaría con un clic. No me equivoqué. Lo que sí ha cambiado es la escala: en 2016 hablábamos de APT10 atacando bufetes de abogados en Estados Unidos; en 2026 hablamos de grupos que operan en tres continentes con un grado de sofisticación que hace diez años solo estaba al alcance de la NSA.
No obstante, hay una diferencia importante entre UAT-8302 y otros grupos chinos más conocidos. La compartimentación entre campañas regionales es inusualmente alta. Esto sugiere que el MSS está aplicando lecciones aprendidas de operaciones pasadas donde una sola célula comprometida permitió a contrainteligencia occidental mapear toda la red. UAT-8302 es, en cierto modo, una apuesta por la resiliencia.
Los precedentes históricos me dan la razón. En 2013, el informe Mandiant sobre APT1 —la unidad 61398 del EPL— supuso un terremoto en la relación entre Washington y Pekín. Pero en lugar de reducir el ciberespionaje, el MSS y el EPL diversificaron sus grupos, los hicieron más pequeños, más autónomos y más difíciles de rastrear. UAT-8302 es heredero directo de aquella doctrina de fragmentación.
Dossier Moncloa: Ojos en la Sombra
El vector de amenaza aquí es un ciberataque de espionaje mediante APT. La persistencia prolongada, el uso de malware personalizado y la orientación a gobiernos sitúan a UAT-8302 en la categoría de amenaza de nivel estratégico. No estamos hablando de ransomware ni de un ataque oportunista: es una operación de inteligencia de Estado, probablemente con cobertura legal del MSS.
Las agencias implicadas son claras. El servicio atacante es el Ministerio de Seguridad del Estado chino, bajo la atribución técnica de Cisco Talos. Los defensores son los gobiernos de Sudamérica —Paraguay figura entre los afectados, según fuentes consultadas— y de Europa del Este, cuyas agencias de seguridad no han confirmado oficialmente el alcance de la intrusión. Y en la categoría de quienes observan con atención están los Five Eyes, la OTAN y, por supuesto, el CNI español. España no está en la lista de víctimas conocidas, pero el patrón de UAT-8302 sugiere que cualquier gobierno con información de valor para Pekín es un objetivo potencial.
El nivel de clasificación estimado del material comprometido lo sitúo en Secreto. Si las víctimas son ministerios de Economía y agencias de seguridad fronteriza, el material exfiltrado incluye evaluaciones de política fiscal, posiciones negociadoras internacionales y datos de inteligencia sobre flujos migratorios. No es material Top Secret de seguridad nacional en sentido estricto, pero sí información clasificada que Pekín puede explotar diplomática y económicamente a medio plazo.
Me consta que el CCN-CERT monitoriza este tipo de grupos desde hace años. En los informes trimestrales que distribuye a las administraciones públicas, las APT chinas aparecen recurrentemente como amenaza de nivel alto para sectores estratégicos españoles: energía, transporte, sector financiero. La pregunta no es si España será objetivo, sino cuándo lo será. Y la respuesta, si me permite la franqueza, es que probablemente ya lo es y aún no lo sabemos.
Un riesgo que debo señalar: la atribución técnica de Talos es sólida, pero no hay confirmación oficial de ninguna agencia gubernamental afectada. Esto es habitual en ciberespionaje —los gobiernos rara vez admiten haber sido vulnerados—, pero introduce un margen de cautela. La atribución en ciberinteligencia siempre es un juicio probabilístico, no una certeza jurídica. Dicho esto, el código no miente: las similitudes entre las campañas sudamericana y europea son demasiado específicas para ser coincidencia.
El calendario que manejo es este. Cisco Talos ha hecho pública su atribución ahora, en mayo de 2026, pero la actividad se remonta a finales de 2024. Eso significa que UAT-8302 lleva operando sin detección pública al menos dieciocho meses. El próximo paso lógico será un informe ampliado de Talos con indicadores de compromiso detallados y, si la presión diplomática escala, alguna declaración de las cancillerías afectadas. No espero que Pekín responda: su doctrina es negar toda atribución técnica que no esté respaldada por una orden judicial o por un acuerdo bilateral.
Lo que sí anticipo es un aumento de la cooperación entre los CERT gubernamentales sudamericanos y europeos. UAT-8302 ha demostrado que comparte herramientas entre regiones, lo que convierte la inteligencia de amenazas compartida en una prioridad operativa. La mejor defensa contra grupos como este es que un país detecte lo que otro aún no ha visto.
En definitiva, UAT-8302 no es una sorpresa para quienes seguimos la evolución de las APT chinas. Es la confirmación de una tendencia: el MSS está refinando su capacidad de operar en múltiples regiones simultáneamente con un grado de sofisticación que iguala —y en algunos aspectos supera— al de los servicios occidentales. El espionaje ya no se juega solo en la frontera digital de Estados Unidos: se juega en Asunción, en Belgrado y, mañana, en cualquier capital donde Pekín tenga intereses estratégicos.
