Ciberespionaje chino LLM: Claude Code y DeepSeek atacan gobiernos y finanzas

Investigadores de Hunt.io descubrieron 13 servidores en Hong Kong con herramientas automatizadas que explotaron sistemas en Tailandia, Afganistán y Taiwán. La campaña paralela contra firmas financieras globales y la reutilización de Claude Code confirman un salto operativo en el

Ocurrió el pasado 8 de junio, aunque la puerta no se cerró hasta el 18. Investigadores de Hunt.io hallaron un directorio abierto en un servidor de Hong Kong que contenía 2.431 archivos y 80 subdirectorios: código fuente de víctimas, scripts de explotación a medida, páginas de inicio de sesión clonadas y registros de operador escritos en chino simplificado. Detrás de aquel descuido operativo había una campaña de ciberespionaje automatizada con modelos de lenguaje de gran escala (LLM), la primera en la que se documenta el uso coordinado de Claude Code, de Anthropic, y DeepSeek-v4-pro, la joya china del razonamiento.

La atribución apunta a un actor estatal vinculado a los servicios de inteligencia chinos. No es una hipótesis: los registros, las infraestructuras compartidas con TencShell y las marcas geográficas en Shanghái dejan poco margen. Esta vez, sin embargo, la novedad no está en la nación tras el teclado, sino en la fábrica de ataques que montaron.

Anatomía del ataque: Claude Code ejecuta, DeepSeek razona

Los investigadores de Hunt.io pudieron reconstruir la cadena porque alguien dejó la puerta abierta. El pivote inicial fue una huella de una cabecera HTTP en el puerto 1111, que los condujo a 13 servidores en Hong Kong repartidos entre cuatro proveedores: VMISS Inc., MEGA-II IDC, CTG Server Limited y Antbox Networks Limited.

Publicidad

Dentro, hallaron un archivo CLAUDE.md con instrucciones para que Claude Code construyese, probase y mejorase páginas de phishing. Las sesiones revelaron una división del trabajo quirúrgica: Claude Code 2.1.165 ejecutaba comandos Bash, gestionaba sesiones largas, paralelizaba tareas y levantaba infraestructura fraudulenta. DeepSeek-v4-pro, en cambio, actuaba como el cerebro que planeaba, generaba scripts y decidía la siguiente técnica de bypass cuando los intentos anteriores fallaban.

Nunca antes había visto un despliegue tan limpio de ofensiva cognitiva distribuida. Los registros con marcas temporales del 8 al 12 de junio mostraron que los mismos identificadores de sesión se usaron en campañas diferenciadas para Tailandia, Afganistán y Taiwán. Los tres servidores que compartían claves SSH se mantenían activos hasta al menos el 18 de junio, cuando renovaron sus certificados ARL al unísono.

No se trataba de una prueba de concepto. Era una línea de producción.

Lo que hemos presenciado en junio es un salto operativo: los actores estatales ya no escriben exploits, se los piden a un modelo de lenguaje.

Tailandia, Afganistán, Taiwán y el asalto financiero global

En Tailandia, los atacantes usaron SQLMap contra un sistema administrativo gubernamental, ganaron acceso al panel de administración y desplegaron una web shell camuflada como archivo GIF para ejecución persistente. La base de datos exfiltrada contenía nombres, números de identidad nacional y cargos de empleados públicos. Solo en ese sistema se acumularon 980 archivos, con registros de prueba que confirmaban un acceso interactivo, no una descarga automatizada.

En Afganistán, el objetivo fue una aplicación web de quejas ciudadanas. Los atacantes extrajeron código fuente, credenciales de base de datos, claves de cifrado e infraestructura de correo de una instalación Laravel 5.8.38. Con esa información construyeron un exploit en Python dirigido a los mecanismos de deserialización del framework. Para un servicio de inteligencia extranjero, acceder al buzón donde los ciudadanos denuncian al gobierno es un premio de inteligencia singular.

En Taiwán mapearon ocho organizaciones de sectores adyacentes a la defensa y la cadena de suministro, y lograron comprometer dos. Un fabricante químico cayó por inyección SQL; un fabricante de equipos de telecomunicaciones y de borde quedó expuesto porque sus desarrolladores dejaron claves de Supabase y tokens de Azure Logic App en código JavaScript público. El script de reconocimiento barrió pasarelas VPN, instancias GitLab y entornos Jira con fuerza bruta de DNS, consultas de transparencia de certificados y fingerprinting de servicios HTTP.

Publicidad

Estados Unidos apareció en las fases iniciales. Los registros incluían escaneos a launchpad.nasa.gov y ngis.nasa.gov, pero no se explotaron. Sí se recuperaron páginas clonadas del Consejo de D.C. y del condado de Delaware (Pensilvania), en distinto grado de madurez: el panel de administración de WordPress del Consejo estaba terminado; la página principal aún carecía de imágenes. La evaluación de Hunt.io coincide con los patrones documentados de recolección de inteligencia china sobre contratación pública, relaciones con proveedores y visibilidad política.

La campaña financiera operaba en paralelo. Una página de explotación CORS en uno de los servidores atacantes extrajo credenciales de administrador de WordPress de una gran plataforma de procesamiento de pagos. El cruce con LinkedIn confirmó que los nombres de las cuentas coincidían con empleados reales.

Dossier Moncloa: Ojos en la Sombra

El vector de amenaza es inequívoco: ciberataque persistente avanzado con asistencia de inteligencia artificial generativa. Los atacantes no se limitaron a usar un LLM como ayuda lateral; lo integraron en el ciclo de decisión ofensivo. Claude Code se encargaba de la ejecución automatizada, y DeepSeek-v4-pro, del razonamiento táctico. Esta arquitectura dual, repartida entre un modelo occidental de Anthropic y un modelo chino alojado presumiblemente en servidores bajo control estatal, es un salto cualitativo en el ciberespionaje de Estado.

La atribución técnica apunta a un actor chino, aunque Hunt.io la califica con confianza moderada. Los indicadores observables —texto en chino simplificado, concentración de infraestructura en Hong Kong, alcance multiconfesional y solapamiento con la infraestructura de TencShell— son consistentes con la actividad de los servicios de inteligencia de la República Popular, probablemente el Ministerio de Seguridad del Estado (MSS) o la Unidad 61398 del Ejército Popular de Liberación. El descubrimiento de un framework C2 no documentado, bautizado como Gshell, añade una nueva herramienta al arsenal chino, con variantes de malware Linux/ARM y Linux/x86 que extraen credenciales de Tencent QQ, tokens de mensajería empresarial y claves de acceso a servicios en la nube.

En el tablero de tercios, el CNI y el CCN-CERT miran desde la barrera, pero con los ojos muy abiertos. España no figura entre las víctimas directas de esta campaña, pero la presencia de infraestructura financiera europea comprometida y la utilización de LLM como herramienta ofensiva obliga a revisar los protocolos de detección. Le recuerdo al lector que ya advertí en El quinto elemento que «el próximo 11S empezará con un clic». Hoy ese clic puede ser una instrucción en lenguaje natural enviada a Claude Code desde un servidor de Hong Kong.

Como precedente histórico, esta operación se sitúa en la estela de SolarWinds y de la campaña que Anthropic reveló en noviembre de 2025, donde actores chinos también usaron Claude Code para automatizar intrusiones a gran escala. Sin embargo, la incorporación de DeepSeek como motor de razonamiento ofensivo marca una diferencia sustancial. Estamos ante la industrialización del ciberespionaje cognitivo.

El nivel de clasificación estimado del material expuesto en los directorios abiertos —código fuente de víctimas, credenciales, exploits a medida— lo sitúo en Confidencial, con algunos módulos que roza en el Secreto por la sensibilidad de la inteligencia obtenida. El cierre de la puerta no reparará el daño. Los atacantes ya han escalado. Y lo han hecho con herramientas que cualquiera puede contratar.