Los investigadores de ciberseguridad de SecurityScorecard han descubierto una sofisticada operación de ciberespionaje denominada LapDogs, presuntamente orquestada por actores estatales chinos. Esta campaña ha logrado comprometer más de mil dispositivos de red para crear una infraestructura clandestina dirigida contra organizaciones estratégicas en Estados Unidos y la región Asia-Pacífico.
Alcance Global de la Operación LapDogs
La campaña maliciosa comenzó sus operaciones en otoño de 2023 y mantiene actividad constante hasta la fecha. Los ciberdelincuentes han dirigido sus esfuerzos hacia sectores críticos incluyendo tecnología de la información, medios de comunicación, infraestructura de redes y mercado inmobiliario.
El alcance geográfico de los ataques revela una estrategia geopolítica bien definida. Además del territorio estadounidense, las organizaciones afectadas se extienden por Japón, Corea del Sur, Hong Kong y Taiwán, sugiriendo objetivos de inteligencia relacionados con tensiones regionales y acceso a información sensible.
Análisis Técnico del Backdoor ShortLeash
El núcleo técnico de esta operación es el backdoor ShortLeash, una herramienta especializada diseñada específicamente para infectar routers y dispositivos de red. Este malware proporciona acceso persistente y encubierto a los sistemas comprometidos, permitiendo operaciones de largo plazo sin detección.
Una característica notable de ShortLeash es su sofisticada técnica de camuflaje. El malware genera certificados TLS autofirmados que imitan la identidad del Departamento de Policía de Los Ángeles (LAPD), una táctica de ingeniería social que permite que el tráfico malicioso pase desapercibido durante inspecciones superficiales de red.
Dispositivos Vulnerables y Vectores de Ataque
El análisis forense reveló que los atacantes se han enfocado principalmente en puntos de acceso Ruckus Wireless y routers inalámbricos Buffalo Technology AirStation. La selección de estos dispositivos se basa en la presencia de servicios SSH obsoletos con vulnerabilidades críticas no parcheadas.
Los operadores de LapDogs explotan activamente dos vulnerabilidades conocidas: CVE-2015-1548 y CVE-2017-17663. A pesar de que estas brechas de seguridad fueron identificadas hace varios años, numerosos dispositivos permanecen vulnerables debido a la falta de actualizaciones de firmware por parte de los administradores de red.
Conexiones con Otras Operaciones APT
Los investigadores han identificado posibles vínculos entre LapDogs y otra operación denominada PolarEdge, una red de retransmisión operacional (ORB) que comprende más de 2,000 routers infectados y dispositivos IoT comprometidos desde 2023.
El análisis de inteligencia de amenazas sugiere conexiones con el grupo APT chino UAT-5918, previamente asociado por Cisco Talos con campañas de alto perfil como Volt Typhoon, Flax Typhoon, Earth Estries y Dalbit, indicando una coordinación entre múltiples operaciones de ciberespionaje.
Estrategia de Persistencia y Ocultamiento
La operación LapDogs se distingue por priorizar la creación de infraestructura encubierta y duradera sobre ataques disruptivos de alta visibilidad. Los dispositivos comprometidos continúan funcionando normalmente, dificultando significativamente la detección y atribución de las actividades maliciosas.
Esta metodología permite a los atacantes mantener presencia prolongada en redes objetivo y utilizar la infraestructura comprometida como plataforma flexible para diversas operaciones de ciberespionaje. La red establecida puede servir como cobertura operacional para futuras campañas de inteligencia.
El descubrimiento de LapDogs subraya la importancia crítica de mantener actualizados los dispositivos de red perimetrales y implementar monitoreo continuo del tráfico de red. Las organizaciones deben priorizar la seguridad de dispositivos IoT y de infraestructura que frecuentemente quedan fuera del perímetro de seguridad tradicional. La aplicación proactiva de parches de seguridad y el despliegue de soluciones avanzadas de detección de amenazas son medidas esenciales para mitigar los riesgos de compromiso de infraestructura crítica.
