Salt Typhoon: La Tormenta Silenciosa en la Infraestructura Crítica Global

En el siempre cambiante panorama de las ciberamenazas, el grupo conocido como Salt Typhoon, también rastreado bajo los nombres de GhostEmperor y FamousSparrow, emerge como un actor sofisticado y persistente. Si bien quizás menos mediático que otros grupos APT, Salt Typhoon representa una amenaza significativa, especialmente para la infraestructura crítica y las empresas de telecomunicaciones a nivel mundial. Su modus operandi, sus posibles vínculos estatales y su historial de intrusiones exitosas merecen una atención detallada por parte de los profesionales de la ciberseguridad.

Bajo la Dirección del Estado: Atribución y Financiación

La atribución de Salt Typhoon apunta con fuerza hacia China, específicamente al Ministerio de Seguridad del Estado (MSS). Esta conclusión se basa en el análisis de sus herramientas, tácticas, la infraestructura que utiliza y la naturaleza de sus objetivos, que a menudo se alinean con los intereses estratégicos del gobierno chino, incluyendo la recopilación de inteligencia y la preparación para posibles disrupciones. Al igual que otros grupos APT patrocinados por estados, se presume que Salt Typhoon recibe financiación directa y recursos significativos del gobierno chino para llevar a cabo sus operaciones. Esto les permite desarrollar herramientas personalizadas, mantener una presencia persistente en las redes comprometidas y llevar a cabo campañas a largo plazo.

Tácticas, Técnicas y Procedimientos (TTPs): Sigilo y Adaptación

Salt Typhoon se caracteriza por un enfoque sigiloso y una notable capacidad de adaptación, lo que les permite evadir la detección y mantener el acceso a los sistemas comprometidos durante períodos prolongados:

• Explotación de Vulnerabilidades Conocidas: Un vector de ataque primario para Salt Typhoon es la explotación rápida de vulnerabilidades conocidas y recientemente divulgadas en software y dispositivos de red. Han sido observados explotando vulnerabilidades en VPNs, firewalls (como los de Sophos), y plataformas de infraestructura en la nube. Esta agilidad en la explotación les permite obtener acceso inicial a una amplia gama de objetivos.
• Uso de Herramientas "Living-off-the-Land" (LotL): Salt Typhoon hace un uso extensivo de herramientas legítimas del sistema operativo y de terceros para llevar a cabo sus actividades maliciosas. Esto incluye el uso de WMIC.exe, PsExec, y PowerShell para la ejecución de comandos, el movimiento lateral y la recopilación de información. Esta táctica les permite mezclarse con la actividad normal del sistema, dificultando la detección por parte de las herramientas de seguridad.
• DLL Sideloading: El grupo emplea la técnica de DLL sideloading para ejecutar cargas útiles maliciosas. Esto implica colocar un archivo DLL malicioso con el mismo nombre que uno legítimo esperado por una aplicación vulnerable, lo que lleva a que la aplicación cargue el archivo DLL malicioso en su lugar.
• Manipulación del Registro de Windows: Salt Typhoon utiliza la manipulación del registro de Windows para lograr la persistencia en los sistemas comprometidos y para configurar la ejecución de sus herramientas maliciosas.
• Uso de Backdoors Personalizados: Se han identificado backdoors personalizados, como GhostSpider, asociados con Salt Typhoon. Estos backdoors permiten a los atacantes mantener el control remoto sobre los sistemas infectados, incluso después de que se hayan tomado medidas para eliminar otras formas de malware.
• Abuso de Canales de Comunicación Legítimos: Para el comando y control (C2) y la exfiltración de datos, Salt Typhoon a menudo abusa de canales de comunicación cifrados y servicios en la nube legítimos. También se ha observado el uso de técnicas de esteganografía para ocultar información robada dentro de archivos aparentemente inofensivos.
• Ataques de "PowerShell Downgrade": Se ha documentado el uso de ataques de "PowerShell Downgrade", donde los atacantes manipulan la configuración de PowerShell para utilizar versiones anteriores que tienen menos características de seguridad y registro, lo que dificulta su detección.
• Robo de Credenciales: Como parte de sus operaciones de movimiento lateral, Salt Typhoon utiliza herramientas como Mimikatz para robar credenciales de cuentas, lo que les permite acceder a otros sistemas dentro de la red comprometida.

Casos Conocidos y sus Implicaciones:

Si bien la información pública detallada sobre los incidentes específicos atribuidos a Salt Typhoon puede ser limitada en comparación con otros grupos APT más notorios, su actividad se ha relacionado con una serie de campañas significativas:

• Compromiso de Empresas de Telecomunicaciones de EE. UU. (Octubre de 2024): Salt Typhoon fue señalado como el actor detrás del compromiso de varias empresas de telecomunicaciones en los Estados Unidos. Se informó que los atacantes robaron comunicaciones de clientes e información de las fuerzas del orden, además de apuntar a figuras políticas. Este incidente generó una preocupación significativa a nivel gubernamental y puso de manifiesto la amenaza que el grupo representa para la infraestructura crítica.
• Explotación de la Vulnerabilidad ProxyLogon en Microsoft Exchange (2021): Se observó a Salt Typhoon explotando la vulnerabilidad ProxyLogon en los servidores de Microsoft Exchange para obtener acceso a las redes objetivo. Esta vulnerabilidad fue ampliamente explotada por varios grupos APT, pero la participación de Salt Typhoon subraya su capacidad para aprovechar rápidamente las nuevas vulnerabilidades.
• Ataques Dirigidos a la Infraestructura Crítica: Aunque los detalles específicos pueden no ser públicos, se cree que Salt Typhoon ha llevado a cabo ataques contra entidades de infraestructura crítica, lo que se alinea con la misión de preparación para la disrupción que se ha atribuido a otros grupos vinculados a China, como Volt Typhoon (con quien comparte similitudes en sus TTPs).

Conclusión:

Salt Typhoon (GhostEmperor, FamousSparrow) representa una amenaza cibernética seria y sofisticada, con probable respaldo estatal chino. Su enfoque en la explotación de vulnerabilidades, el uso de técnicas "living-off-the-land" y su capacidad para mantener la persistencia los convierten en un adversario desafiante. Las organizaciones, especialmente aquellas en el sector de las telecomunicaciones y la infraestructura crítica, deben tomar precauciones significativas para protegerse contra este grupo. Esto incluye la implementación de una gestión de parches rigurosa, la monitorización continua de la actividad de la red en busca de comportamientos anómalos y la adopción de medidas de seguridad proactivas para detectar y responder a posibles intrusiones. La "tormenta silenciosa" de Salt Typhoon en el ciberespacio requiere una vigilancia constante y una defensa robusta.