Lo tengo claro: la campaña de ciberespionaje que acaba de destaparse contra operadoras de telecomunicaciones en Oriente Medio es una de las más elegantes que he visto en meses. No por el volumen de víctimas, sino por la arquitectura del ataque. Un ecosistema de malware hasta ahora desconocido —bautizado como Showboat para sistemas Linux y JFMBackdoor para entornos Windows— está firmado con el oficio de un actor estatal. Y cuando usted vea la evasión de EDR que han conseguido, sabrá que esto no es obra de un cibercriminal cualquiera.
Anatomía de la intrusión: un ecosistema de malware con dos cabezas
La operación, revelada por los analistas de inteligencia de amenazas de BleepingComputer y The Hacker News, muestra una capacidad de ingeniería inversa y desarrollo multiplataforma que, sinceramente, asusta. Showboat es la pieza más innovadora: un binario ELF para Linux que actúa como puerta trasera con capacidades de reconocimiento, exfiltración de datos y movimiento lateral dentro de la red corporativa de la víctima.
Los atacantes no han usado exploits de día cero para la intrusión inicial, según los primeros análisis. Han comprometido las credenciales de administradores de sistemas mediante técnicas de phishing dirigido (spear-phishing) y se han apoyado en herramientas legítimas de administración remota para camuflar su presencia. Eso es tradecraft de manual. Un modus operandi que reduce la firma maliciosa al mínimo y complica la detección por parte de los equipos de ciberseguridad.
Una vez dentro, Showboat se comunica con su servidor de mando y control (C2) mediante tráfico HTTP encriptado que imita las comunicaciones legítimas de la red. Mientras tanto, en en los equipos Windows, JFMBackdoor despliega una backdoor modular que carga sus funcionalidades en tiempo de ejecución, una técnica que ya hemos visto en operaciones previas de grupos APT patrocinados por el estado chino. Es. Pura. Precisión. Quirúrgica.
Le pongo en contexto una cifra que debería preocupar a cualquier CSO del sector: los investigadores han confirmado que el malware evade las soluciones EDR de los principales fabricantes, lo que sugiere un proceso de testing previo contra los motores de detección más extendidos. Ese nivel de sofisticación tiene un coste altísimo en horas de laboratorio, y no está al alcance de grupos con ánimo de lucro. Lo paga un estado.
El espionaje moderno no se mide por la cantidad de datos que roba, sino por el tiempo que lleva haciéndolo sin que nadie se entere.
El historial de la APT: cuando el ‘Made in China’ apunta a las telecos
En este punto, si usted ha seguido de cerca las operaciones de Advanced Persistent Threat (APT) originadas en China, sabrá que las empresas de telecomunicaciones son un objetivo prioritario desde hace al menos una década. Las telecos son la columna vertebral de internet. Quien controla el tráfico de una operadora accede a metadatos de millones de ciudadanos, intercepta comunicaciones y puede mapear las infraestructuras críticas de un país entero.
El Ministerio de Seguridad del Estado de China (MSS) ha empleado históricamente a grupos como APT31 (también conocido como Zirconium), APT40 (Leviathan) o el temible Volt Typhoon para campañas de ciberespionaje contra este sector. Recuerdo ahora la ofensiva contra operadoras europeas en 2022, cuando Volt Typhoon comprometió los sistemas de aprovisionamiento de varios proveedores en Alemania y Francia. Aquella campaña, revelada por Mandiant, se parece mucho a esta en su paciencia y en su camuflaje.
La mala noticia es que los grupos chinos aprenden rápido. Y se copian entre ellos. Esta campaña no ha sido atribuida oficialmente todavía a un grupo concreto, pero el diseño modular de JFMBackdoor, con su capacidad de cargar extensiones en caliente, recuerda peligrosamente a las técnicas de APT41 (Winnti). Sin embargo, la inversión en una variante nativa para Linux —el sistema operativo que domina el core de red de casi todas las operadoras— añade un salto cualitativo que, me consta, ha encendido todas las alarmas en Fort Meade y en el CCN-CERT.
Dossier Moncloa: Ojos en la Sombra
Entremos en el terreno que a usted, lector de Moncloa.com, más le interesa. ¿Qué significa esta operación para España? Permítame ser directo: nuestro país alberga algunas de las infraestructuras de telecomunicaciones más densas del sur de Europa, y el interés de Pekín por el flanco sur de la OTAN no es nuevo. El CNI y el Centro Criptológico Nacional (CCN-CERT) llevan desde 2018 advirtiendo en sus informes clasificados sobre el creciente apetito de los APT chinos por los nodos de comunicaciones en territorio nacional.
El vector de amenaza aquí es un ciberataque de espionaje persistente, apoyado en malware multiplataforma diseñado a medida para entornos de proveedores de servicios. La agencia atacante, aunque no está formalmente identificada en el informe de los investigadores, encaja en el perfil técnico y operativo del MSS chino, y muy probablemente en la órbita de uno de sus grupos de ciberguerra conocidos. La agencia defensora, en este teatro concreto de Oriente Medio, no ha trascendido, pero las alertas del FBI y la NSA ya se han distribuido entre los aliados de los Cinco Ojos y, créame, han llegado a la mesa del director del CNI.
Los terceros observadores son igualmente relevantes. El BND alemán y la DGSE francesa —cuyas telecos ya fueron atacadas por Volt Typhoon en 2022— están analizando las muestras con lupa. Y Rabat, cuyo servicio de inteligencia exterior (DGED) colabora estrechamente con Pekín en capacidades de cibervigilancia, observa con interés cualquier movimiento que pueda generar desestabilización en redes europeas. La triangulación MSS-DGED es una de las líneas de investigación más sensibles del CNI en este momento, y no, no es casualidad que este ataque se produzca en un momento de renovada tensión en el Magreb.
A juzgar por la naturaleza del objetivo —infraestructura crítica de telecomunicaciones— y por la sofisticación de las herramientas empleadas, estimo que el nivel de clasificación del material técnico involucrado en esta campaña es, como mínimo, Secreto, y muy probablemente alcance el nivel de Top Secret en lo que respecta a los indicadores de compromiso detallados y a las técnicas de evasión de EDR. Esto no es una filtración, es una infección activa. Lo que está en riesgo no son datos personales, sino la integridad misma de las redes que soportan las comunicaciones de un Estado.
Si he de mojarme, lo veo como un ensayo general. Una forma de probar armamento cibernético en un teatro secundario (Oriente Medio) antes de —potencialmente— desplegarlo contra objetivos en Europa. Es la misma doctrina que Rusia aplicó con NotPetya en Ucrania en 2017, antes de que el malware se descontrolara y causara miles de millones en daños globales. La diferencia es que los chinos son más meticulosos que los rusos. No suelen perder el control de sus herramientas. Lo que los hace más peligrosos.
Ya advertí en El quinto elemento que «el próximo 11S empezará con un clic». Y añado ahora: ese clic no lo dará un terrorista, lo dará un administrador de sistemas que pulse un enlace en un email de phishing. Las consecuencias serán las mismas. El siguiente paso que preveo es la publicación del próximo informe técnico del CCN-CERT, que debería elevar la alerta de los operadores de infraestructuras críticas en España. Estaremos muy atentos al Boletín Oficial del Estado y a las comunicaciones del Consejo de Seguridad Nacional.
No se equivoque conmigo: esto no es una película. Las telecos están siendo atacadas. El malware está vivo en redes de Oriente Medio. Y España tiene un 5% más de probabilidades de ser el siguiente objetivo cada día que pasa sin que las operadoras refuercen sus sistemas de detección contra estas amenazas. Hace años que escribí que «en España hay 8.000 infraestructuras críticas y atacables a través de internet». No he cambiado de opinión. Más bien al contrario.
El tiempo es el factor más valioso en esta historia. Dejémoslo en un ‘ya veremos’. Pero no me diga que no le avisé.
