✨︎ Resumen (TL;DR):
- La NSA y 15 agencias globales confirmaron que actores vinculados a China usan routers e IoT comprometidos para camuflar su actividad.
- La red Raptor Train infectó más de 200,000 dispositivos en 2024 a nivel mundial.
- La amenaza provoca la “extinción de IOC”, volviendo inútiles las defensas tradicionales basadas en listas de bloqueo estáticas.
La NSA, el NCSC del Reino Unido y agencias de otros ocho países emitieron una alerta conjunta este jueves sobre un cambio de táctica en la ciberseguridad. La mayoría de los grupos de hackers vinculados a China ahora utilizan redes encubiertas masivas, formadas por routers domésticos, dispositivos IoT y firewalls comprometidos, para enmascarar sus operaciones y evitar ser rastreados.
El documento se presentó durante el segundo día de la conferencia CYBERUK 2026 en Glasgow. Es una de las advertencias multinacionales más extensas hasta la fecha, firmada por 16 agencias de 10 países, incluyendo el FBI de Estados Unidos y servicios de inteligencia de España, Japón y Alemania.
Según el reporte, empresas chinas de seguridad informática construyen y mantienen estas infraestructuras para actores respaldados por el Estado. Un caso destacado es la botnet Raptor Train, que infectó más de 200,000 dispositivos en 2024. Esta red era operada por Integrity Technology Group, una firma sancionada por el gobierno británico en diciembre de 2025.
Otra infraestructura mencionada es la KV Botnet, operada por el grupo Volt Typhoon. Este sistema explotaba routers descontinuados de Cisco y NetGear que ya no recibían parches de seguridad.
“Hemos visto un cambio deliberado en los grupos cibernéticos con sede en China que utilizan estas redes para ocultar su actividad maliciosa en un intento de evadir la rendición de cuentas”, declaró Paul Chichester, director de Operaciones del NCSC.
El peligro de la extinción de IOC
El reporte destaca un problema técnico grave: la extinción de Indicadores de Compromiso (IOC). Como las redes encubiertas cambian constantemente de nodos, las direcciones IP maliciosas desaparecen rápidamente. Las defensas tradicionales que dependen de listas estáticas ya no funcionan.
Para mitigar el riesgo, las agencias instan a las organizaciones a implementar arquitecturas Zero Trust, autenticación multifactor y fuentes de inteligencia dinámicas. Las empresas grandes deben cazar proactivamente conexiones sospechosas provenientes de IPs de banda ancha de consumidores.
De forma paralela, la firma ESET reveló operaciones de GopherWhisper, otro grupo alineado con China. Este equipo ejecuta campañas de espionaje contra instituciones gubernamentales de Mongolia utilizando un kit de malware basado en Go.
Los atacantes abusan de servicios en la nube legítimos como Microsoft 365, Slack y Discord para controlar los equipos infectados, y extraen los datos a través de file.io. ESET confirmó 12 sistemas comprometidos en una sola institución de Mongolia, pero su telemetría sugiere docenas de víctimas adicionales a nivel global.
