💡 Resumen (TL;DR):
- El grupo UNC6426 usó credenciales robadas del sistema Nx para comprometer servidores en la nube de Amazon Web Services.
- Los atacantes obtuvieron privilegios de administrador absoluto y robaron más de 1,000 tokens de GitHub.
- El código malicioso manipuló asistentes de IA locales para rastrear contraseñas dentro de las computadoras afectadas.
Un reciente informe de Google reveló cómo el grupo de atacantes UNC6426 escaló una brecha de seguridad desde la computadora de un desarrollador hasta obtener control total de administrador en Amazon Web Services (AWS) en menos de 72 horas, usando como punto de entrada un token robado.
El documento, elaborado por la oficina del CISO de Google, Mandiant Consulting y el Grupo de Inteligencia de Amenazas, señala que la intrusión se originó en agosto de 2025 durante un ataque a la cadena de suministro de Nx, una herramienta de código abierto con millones de descargas semanales.
El ataque inició cuando el editor de código de la víctima instaló una actualización corrupta. Este paquete liberó a QUIETVAULT, un malware JavaScript que funciona como extractor de contraseñas bajo la fachada de un script de telemetría. Este código extrajo el Token de Acceso Personal de GitHub del desarrollador y lo filtró hacia un repositorio público.
En un lapso de dos días, los atacantes utilizaron el software NORDSTREAM para extraer credenciales de servicio CI/CD. Al abusar de una conexión legítima de OpenID Connect entre GitHub y AWS, generaron credenciales temporales que les permitieron crear un nuevo rol con permisos totales de administrador.
Con la infraestructura en su poder, la agrupación criminal extrajo datos de buckets S3, apagó servidores de producción EC2 y RDS, desencriptó llaves de aplicaciones y modificó los repositorios internos de la empresa para hacerlos públicos.
IAs convertidas en cómplices de reconocimiento
El aspecto técnico que diferenció esta ofensiva fue la manipulación directa de asistentes de inteligencia artificial. El código malicioso envió instrucciones en lenguaje natural a herramientas de línea de comandos instaladas localmente como Claude, Gemini y Q, obligándolas a escanear sistemas de archivos y extraer rutas con credenciales sensibles hacia un documento temporal.
Investigadores de Wiz y StepSecurity definieron la técnica como “uno de los primeros casos documentados de malware obligando a asistentes de IA a ayudar en tareas de reconocimiento”.
Las cifras extraídas del informe exhiben la magnitud y las tendencias actuales de los ataques en la nube:
- La vulneración inicial de Nx duró apenas cinco horas el 26 de agosto de 2025, pero expuso más de 1,000 tokens de GitHub y aproximadamente 20,000 archivos.
- Las vulnerabilidades de software representaron el 44.5% de los accesos iniciales a finales de 2025, superando por primera vez a las contraseñas débiles.
- El compromiso de identidad fundamentó el 83% de las brechas en la nube, y el robo de información fue la meta en el 73% de los casos.
Para blindar la infraestructura, Google recomendó a los administradores aplicar reglas estrictas de privilegios mínimos en roles conectados por OIDC, adoptar tokens de corta duración y configurar perímetros de red severos que limiten el daño de una credencial comprometida.
