Google advierte sobre un hackeo en tiempo real por parte de un actor estatal chino tras las alertas.

Google ha emitido una alerta sobre un ataque de piratería informática patrocinado por el estado chino, que tiene como objetivo a los usuarios en tiempo real. A través de su grupo de ciberseguridad, Google Threat Intelligence Group (GTIG), se ha reportado la utilización de un método de secuestro de portales cautivos para distribuir malware bajo la apariencia de actualizaciones de un plugin de Adobe.

Este ataque, atribuido al grupo UNC6384, está vinculado potencialmente a Silk Typhoon, conocido por sus campañas de ciberespionaje dirigidas a gobiernos y organizaciones críticas en Occidente. Según la información proporcionada, la campaña afectó a diplomáticos en el sudeste asiático y a otras entidades globalmente.

Los portales cautivos funcionan como páginas de inicio de sesión en redes públicas, que se activan al conectarse a internet en lugares como aeropuertos o cafeterías. Así, tras establecer conexión, los usuarios pueden ser redirigidos a una página maliciosa. Google ha indicado que los atacantes comprometieron dispositivos de red en estas áreas (como enrutadores y firewalls) para redirigir el tráfico a estas páginas engañosas.

Una vez en la página maliciosa, los usuarios son invitados a descargar una actualización de seguridad para Adobe, la cual en realidad es un malware. El paquete inicial, un archivo MSI, instala malware adicional, que incluye CANONSTAGER y SOGU.SEC. Este último actúa como una puerta trasera, permitiendo el acceso sin restricciones a los sistemas de los usuarios comprometidos.

Google ha estado monitoreando esta actividad desde marzo de este año, alertando a los usuarios de Gmail y Google Workspace sobre la amenaza. En respuestas a acusaciones sobre ciberataques, China ha negado cualquier implicación, defendiendo su posición de que la mayor parte de la actividad cibernética agresiva proviene de Estados Unidos.