Una de las campañas de ciberespionaje más sofisticadas de los últimos años, atribuida al grupo chino UNC2814, ha sido desmantelada tras una operación coordinada por Google Threat Intelligence Group, Mandiant y varios socios internacionales. El elemento más llamativo de esta operación fue el uso del Google Sheets API como infraestructura de mando y control (C2), camuflando el tráfico malicioso entre conexiones legítimas a servicios en la nube.
Campaña de ciberespionaje UNC2814 contra telecomunicaciones y organismos gubernamentales
Según Google, desde 2023 UNC2814 desarrolló una campaña de ciberespionaje dirigida contra operadores de telecomunicaciones y entidades gubernamentales en África, Asia, Norteamérica y Sudamérica. Se ha confirmado la comprometación de al menos 53 organizaciones en 42 países, y se han detectado indicios de posible infección en más de 20 países adicionales.
La elección de telecos y administraciones públicas es coherente con las tácticas de grupos de tipo APT (amenazas persistentes avanzadas) vinculados a intereses estatales. El acceso a nodos de red y sistemas críticos permite interceptar tráfico, monitorizar comunicaciones y obtener información sensible, incluyendo datos personales, metadatos de llamadas y correos, así como documentación interna de alto valor estratégico.
Malware GRIDTIDE: un backdoor en C controlado desde Google Sheets
Arquitectura del backdoor GRIDTIDE y uso de Google Sheets como servidor C2
La herramienta principal de la campaña fue el backdoor GRIDTIDE, desarrollado en lenguaje C. Su singularidad reside en que utilizaba Google Sheets como servidor C2 completo. Para autenticarse, el malware empleaba un Google Service Account con una clave privada codificada en el propio binario, convirtiendo una hoja de cálculo aparentemente normal en el panel de control de la operación.
Tras ejecutarse, GRIDTIDE limpiaba el contenido de la hoja designada, recopilaba información detallada del host comprometido (sistema operativo, configuración, entorno de ejecución) y la almacenaba en la celda V1. La celda A1 actuaba como “centro de mando”: el backdoor la consultaba periódicamente para recuperar instrucciones de los operadores. El intercambio de datos se codificaba en Base64 para que el tráfico pareciera idéntico a solicitudes legítimas a la API de Google.
El malware soportaba la ejecución de comandos bash arbitrarios, la carga de archivos hacia el equipo víctima y la exfiltración de información. Los resultados de las órdenes y los ficheros extraídos se escribían en el rango de celdas A2–An, permitiendo a los atacantes gestionar toda la operación desde una interfaz tan cotidiana como una hoja de cálculo en la nube.
Evasión y patrón de comunicaciones del canal de mando y control
Cuando aparecía una orden en la celda A1, GRIDTIDE la ejecutaba y sobrescribía la celda con un mensaje de estado, reduciendo la visibilidad de la actividad ante un análisis superficial de la hoja. Si no había instrucciones, el backdoor realizaba hasta 120 consultas por segundo; transcurrido ese ciclo inicial, pasaba a verificaciones aleatorias cada 5–10 minutos, imitando tráfico de fondo típico de aplicaciones que interactúan con la nube.
El uso de servicios populares como Google, Microsoft u otras nubes públicas como C2 es una tendencia en auge. Diversos informes de inteligencia de amenazas han documentado este patrón, que complica el trabajo de los equipos de seguridad porque el tráfico hacia grandes proveedores cloud suele estar permitido y se considera de confianza. En este contexto, la mera detección basada en firmas resulta insuficiente y se hace imprescindible el análisis basado en comportamiento y correlación de eventos a nivel de host y red.
Tácticas de movimiento lateral: living-off-the-land y SoftEther VPN Bridge
Además de GRIDTIDE, UNC2814 recurrió de forma extensiva a la técnica living-off-the-land: aprovechar herramientas legítimas ya presentes en el sistema (como utilidades estándar de Linux) para ejecutar tareas maliciosas. Este enfoque reduce la huella en disco y dificulta el análisis forense, ya que muchas acciones se parecen a operaciones administrativas rutinarias.
El movimiento lateral dentro de las redes corporativas se llevó a cabo principalmente mediante SSH, y la persistencia se conseguía registrando el malware como servicio del sistema. En varios incidentes, los atacantes desplegaron SoftEther VPN Bridge, una solución VPN de código abierto que ya se ha vinculado en el pasado a otras operaciones de ciberespionaje chinas. Este “puente VPN” permite establecer canales encubiertos y resilientes hacia la infraestructura de la víctima, evadiendo en gran parte los controles perimetrales tradicionales.
En al menos un caso documentado, GRIDTIDE se detectó en un servidor con datos personales. Aunque no se confirmó la exfiltración efectiva de esa información, la mera presencia de un backdoor en sistemas que procesan datos regulados incrementa de forma crítica los riesgos de incumplimiento normativo y de impacto reputacional.
Respuesta de Google y lecciones clave para la ciberseguridad corporativa
Para frenar la campaña, Google cerró todos los proyectos en la nube asociados a UNC2814, revocó el acceso al Google Sheets API y redirigió los dominios relacionados a servidores controlados por analistas mediante la técnica de sinkholing. De este modo, se interrumpió el control remoto de los equipos comprometidos y se facilitó el seguimiento de la actividad residual. Las organizaciones afectadas fueron notificadas y se les ofreció soporte en las labores de respuesta y erradicación.
Google considera que la actividad de UNC2814 se sitúa entre las campañas de ciberespionaje más amplias y efectivas de los últimos años. Es previsible que el grupo intente reconstruir su infraestructura, posiblemente migrando a otras plataformas cloud o rediseñando sus protocolos C2. Este escenario pone de relieve la necesidad de actualizar de forma continua los modelos de amenaza y los casos de uso de detección.
Las organizaciones, especialmente en sectores de telecomunicaciones y administración pública, deberían revisar en profundidad sus políticas de acceso a servicios en la nube, implementar un monitoreo exhaustivo del tráfico saliente y reforzar el control sobre el uso de service accounts y llamadas a APIs. Son igualmente prioritarios los inventarios y revisiones periódicas de servicios de sistema inusuales, el análisis de actividad SSH, así como la identificación de túneles VPN no autorizados. Invertir en tecnologías de detección basadas en comportamiento y en inteligencia de amenazas que contemplen casos como el uso de Google Sheets como C2 se está convirtiendo en un requisito esencial para reducir el riesgo de ciberespionaje y proteger datos críticos.
