La infraestructura crítica de telecomunicaciones en varios países de Sudamérica está siendo objeto de una campaña de ciberespionaje avanzado atribuida a un grupo APT vinculado a China, identificado por Cisco Talos como UAT-9244. Esta operación, activa al menos desde 2024, emplea tres familias de implantes previamente desconocidos para comprometer sistemas Windows, Linux y dispositivos edge de operadores de comunicaciones.
Grupo APT UAT-9244: vínculos con FamousSparrow y Salt Typhoon
El análisis de Cisco Talos sitúa a UAT-9244 dentro de un cluster de actividad cercano a la conocida amenaza FamousSparrow, que a su vez comparte tácticas, técnicas y procedimientos con Salt Typhoon, grupo asociado históricamente a ataques contra telecos. Aunque existen coincidencias claras en objetivos, herramientas y estilo operativo, los investigadores subrayan que aún no hay pruebas técnicas inequívocas que permitan afirmar que se trata exactamente de la misma estructura organizativa.
El sector de telecomunicaciones es un objetivo prioritario para el ciberespionaje de carácter estatal. Los operadores gestionan grandes volúmenes de metadatos, información de geolocalización de abonados y, en ciertos casos, puntos de acceso para el interceptado de tráfico. Comprometer a una telco abre la puerta no solo a sus sistemas internos, sino también a sus clientes corporativos y socios de interconexión, amplificando el impacto potencial de cada intrusión.
Vector de entrada incierto y explotación de Windows Server y Exchange
En esta campaña concreta, el método de acceso inicial de UAT-9244 no ha podido determinarse con precisión. No obstante, en incidentes anteriores se ha observado a la misma amenaza explotando servidores Windows Server y Microsoft Exchange sin parchear, donde se desplegaban web shells para mantener el control y moverse lateralmente. Este patrón encaja con una tendencia ampliamente documentada: numerosos grupos APT continúan abusando de servicios olvidados o fuera del ciclo regular de gestión de parches, especialmente en infraestructuras distribuidas y heredadas.
TernDoor: backdoor avanzado para Windows con DLL side-loading y driver
En entornos Windows, UAT-9244 despliega el implante TernDoor, una evolución de CrowDoor y SparrowDoor. Según Cisco Talos, se utiliza al menos desde noviembre de 2024 y recurre a la técnica de DLL side-loading, que consiste en engañar a un programa legítimo para que cargue una biblioteca maliciosa en lugar de la original, aprovechando rutas de búsqueda de DLL mal protegidas.
Carga, persistencia y capacidades de TernDoor
Para la ejecución, los atacantes abusan del binario legítimo wsprint.exe, que carga una DLL manipulada denominada BugSplatRc64.dll. Esta biblioteca descifra y ejecuta el payload principal directamente en memoria, dificultando su detección mediante antivirus tradicionales basados en archivos. La persistencia se logra a través de tareas programadas o claves Registry Run, garantizando el arranque automático al iniciar Windows.
Un rasgo distintivo de TernDoor es la inclusión de un driver de Windows capaz de pausar, reanudar y finalizar procesos. Esto otorga al atacante un control granular sobre procesos de seguridad y servicios del sistema, facilitando la ocultación del malware. El único parámetro soportado en línea de comandos, -u, permite desinstalar el backdoor y limpiar artefactos, reduciendo la huella forense al término de la operación.
Una vez activo, TernDoor verifica que se está ejecutando dentro del proceso msiexec.exe, decodifica la configuración con los detalles de comando y control (C2) y establece un canal cifrado. A través de este canal, los operadores pueden crear procesos, ejecutar comandos arbitrarios, leer y escribir archivos, recolectar información del sistema e instalar el driver para reforzar la evasión.
PeerTime: backdoor P2P para Linux e IoT basado en BitTorrent
El estudio de la infraestructura de UAT-9244 permitió identificar PeerTime, un backdoor para Linux diseñado bajo un modelo peer-to-peer (P2P) y compilado para múltiples arquitecturas (ARM, AARCH, PPC y MIPS). Esta versatilidad lo hace especialmente peligroso en dispositivos embebidos y equipos de red típicos del entorno de telecomunicaciones e IoT industrial.
Uso de Docker, desarrollo y protocolo BitTorrent
PeerTime se distribuye mediante un shell script que descarga un binario ELF “instrumentador” y el propio implante. Los investigadores destacan que este componente auxiliar verifica la presencia de Docker usando comandos como docker y docker -q; si detecta el contenedor, activa el cargador de PeerTime. El ELF contiene cadenas de depuración en chino simplificado, lo que refuerza la hipótesis de un origen chino en su desarrollo.
El cargador se encarga de descifrar y descomprimir el payload final y ejecutarlo en memoria, reduciendo los rastros en disco. Existen al menos dos ramas de PeerTime: una versión más antigua en C/C++ y una variante reciente escrita en Rust. El implante se camufla como un proceso legítimo y utiliza el protocolo BitTorrent para obtener su configuración C2, descargar archivos desde nodos vecinos y ejecutarlos. Esta arquitectura P2P hace que la infraestructura de mando sea mucho más resistente frente al bloqueo de dominios o la toma de servidores centrales.
BruteEntry: fuerza bruta desde dispositivos edge y red ORB
En los servidores de control de UAT-9244 también se halló un conjunto de scripts y cargas útiles relacionadas con BruteEntry, un módulo de fuerza bruta orientado a dispositivos edge. Estos equipos se convierten en nodos proxy escalables dentro de una arquitectura tipo Operational Relay Box (ORB), desde la cual se lanzan ataques de credenciales contra servicios como Postgres, SSH y Tomcat.
Orquestador en Go y gestión de credenciales comprometidas
BruteEntry se despliega mediante un script que instala dos componentes escritos en Golang: un orquestador y el escáner de fuerza bruta. El orquestador descarga el módulo BruteEntry, que se conecta entonces al servidor C2, recibe un listado de direcciones IP objetivo y comienza a probar combinaciones de usuario y contraseña. Cada intento se registra y devuelve al servidor de mando.
Los resultados se reportan en campos "success" y "notes": el primero indica si la contraseña fue descubierta; el segundo incluye una descripción textual. Cuando agota todas las combinaciones sin éxito, en "notes" se devuelve la cadena “All credentials tried”. Este diseño permite a los operadores filtrar automáticamente los objetivos ya explorados y concentrar recursos en sistemas efectivamente comprometidos.
El arsenal técnico de UAT-9244 —que combina un backdoor con driver para Windows, un implante P2P multiplataforma para Linux y módulos de fuerza bruta a través de dispositivos edge— refleja un alto grado de madurez, financiación y foco estratégico. Para los operadores de telecomunicaciones y otras organizaciones con infraestructuras distribuidas, resulta crítico reforzar el parcheo de Windows Server y Exchange, proteger entornos Docker, aplicar una segmentación de red estricta y monitorizar tráfico P2P anómalo, incluido BitTorrent. El auditoría periódica de dispositivos edge, la desactivación de servicios innecesarios, el uso de autenticación multifactor para SSH y accesos de administración y la detección de DLL side-loading (por ejemplo, ejecuciones inusuales de wsprint.exe o actividad anómala de msiexec.exe) pueden reducir significativamente la superficie de ataque frente a grupos APT de este perfil y limitar el impacto de posibles intrusiones.
