✨︎ Resumen (TL;DR):
- Agencias internacionales alertaron sobre redes ocultas de dispositivos secuestrados por el gobierno chino.
- El grupo Flax Typhoon infectó más de 200,000 equipos a nivel mundial durante 2024.
- Las botnets permiten ocultar operaciones de espionaje contra infraestructuras críticas.
Estados Unidos y más de una docena de socios internacionales emitieron este jueves una alerta global de ciberseguridad. Agencias como CISA, la NSA y el NCSC del Reino Unido advirtieron que hackers vinculados al gobierno chino utilizan redes masivas de routers y dispositivos inteligentes secuestrados para ocultar operaciones de espionaje y atacar infraestructura crítica a nivel mundial.
El aviso conjunto, titulado “Defending Against China-Nexus Covert Networks of Compromised Devices”, se publicó durante el segundo día de la conferencia CYBERUK 2026.
El reporte detalla cómo estos grupos abandonaron la infraestructura propia para depender de botnets formadas por routers domésticos, cámaras web, firewalls y sistemas NAS.
El documento oficial advirtió: “El uso de redes encubiertas de dispositivos comprometidos para facilitar actividades cibernéticas maliciosas no es nuevo, pero los actores cibernéticos con nexos con China ahora las están utilizando estratégicamente y a gran escala”.
El alcance de Volt Typhoon y Flax Typhoon
El NCSC británico estima que la mayoría de los hackers chinos dependen de estas redes para disfrazar cada etapa de sus ataques, desde el reconocimiento inicial hasta la extracción de datos.
El reporte expone las operaciones de dos amenazas principales:
- Volt Typhoon: Utilizó la botnet KV, formada por routers obsoletos de Cisco y NetGear, para posicionar armamento cibernético dentro de redes clave de Estados Unidos en los sectores de energía, agua y transporte.
- Flax Typhoon: Operó a través de la red Raptor Train. Según el FBI, esta botnet controlada por la empresa china Integrity Technology Group infectó más de 200,000 dispositivos en todo el mundo durante 2024.
El reto de la extinción de indicadores
Empresas de seguridad chinas externas suelen crear y mantener estas redes. Esto reduce costos operativos y facilita que los atacantes nieguen su participación.
Al compartir la infraestructura entre varios grupos, los defensores enfrentan la extinción de IOC (indicadores de compromiso). Este fenómeno ocurre cuando las huellas digitales del ataque desaparecen casi al instante de ser descubiertas, volviendo inútiles las listas de bloqueo estáticas.
Para mitigar esta amenaza, la coalición internacional recomendó a las empresas vigilar el tráfico de red, usar conexiones VPN seguras y aplicar controles zero-trust.
Las organizaciones también tienen la instrucción técnica de reemplazar inmediatamente el hardware antiguo que ya no recibe parches de seguridad, el cual funciona como el suministro principal para alimentar estas redes de ataque.
