Los enrutadores domésticos se convierten en espías silenciosos mientras ciberdelincuentes vinculados a China llevan a cabo una campaña de infiltración digital lenta y metódica.

Una reciente operación de ciberespionaje conocida como LapDogs ha despertado la preocupación tras las conclusiones del equipo de Seguridad de una firma de análisis. Se sospecha que esta operación está relacionada con actores de amenazas alineados con China y ha logrado infiltrarse silenciosamente en más de 1,000 dispositivos en países como Estados Unidos, Japón, Corea del Sur, Taiwán y Hong Kong.

Lo que distingue a esta campaña es la utilización de routers SOHO y hardware IoT secuestrados, los cuales se transforman en "Cajas de Relé Operacionales" (ORB) para una vigilancia prolongada. LapDogs, que ha estado activa desde septiembre de 2023, tiene como objetivo diversos sectores, incluyendo el inmobiliario, medios de comunicación, municipal y de TI. Se ha informado sobre la comprometida seguridad de dispositivos de reconocidos proveedores como Buffalo Technology y Ruckus Wireless.

Los atacantes emplean un backdoor personalizado llamado ShortLeash, el cual otorga amplios privilegios y permite operar con sigilo, integrándose en el tráfico legítimo. Al infectar un dispositivo, este puede permanecer indetectable durante meses; en el peor de los casos, se utilizan como puertas de entrada para infiltrar redes internas. A diferencia de las típicas botnets que se enfocan en causar caos o spam, LapDogs adopta un enfoque más preciso. Según un experto en inteligencia de amenazas, esta operación no se trata de ataques opportunistas, sino de campañas deliberadas y geo-dirigidas que minan el valor de los Indicadores de Compromiso (IOCs) tradicionales.

Con 162 conjuntos de intrusión distintos ya mapeados, la estructura de esta operación sugiere una clara intención y segmentación en sus acciones. Uno de los aspectos más inquietantes es la falsificación de credenciales de seguridad legítimas, donde el malware crea certificados TLS que aparentan estar firmados por el Departamento de Policía de Los Ángeles. Esta falsificación, junto con la emisión de certificados conscientes de la geolocalización y puertos asignados, complica la detección de comportamientos maliciosos por parte de los sistemas convencionales. Las mejores herramientas de protección de endpoints tendrían dificultades para identificar tales intrusiones bien disfrazadas, especialmente cuando la actividad se redirige a través de routers domésticos comprometidos en lugar de activos corporativos.

La comparación de LapDogs con otro sistema relacionado con China, llamado PolarEdge, señala que ambos son distintos en su infraestructura y ejecución. La preocupación generalizada es el aumento de la vulnerabilidad en el paisaje tecnológico actual. A medida que las empresas dependen cada vez más de dispositivos descentralizados y omiten la actualización del firmware incorporado, el riesgo de espionaje persistente se eleva. Para mitigar estas amenazas, se insta a los defensores de redes y proveedores de servicios de Internet a revisar los dispositivos en sus cadenas de suministro.

Esto sugiere que es fundamental reconsiderar las soluciones reactivas, enfocándose en medidas más proactivas a nivel de infraestructura, como la implementación de las mejores soluciones FWAAS y ZTNA.