Los investigadores de seguridad cibernética han descubierto más de 10 patentes para tecnologías forenses y recopilación de datos altamente intrusivas presentadas por compañías chinas directamente vinculadas a operaciones de piratería patrocinadas por el estado, según un nuevo informe de Sentinellabs publicado esta semana.
Las patentes, registradas por empresas nombradas en las recientes acusaciones del Departamento de Justicia de los Estados Unidos, detallan capacidades ofensivas sofisticadas que incluyen adquisición de datos de punto final cifrado, forense de dispositivos móviles e intercepción de tráfico de redes de enrutadores y electrodomésticos inteligentes.
Las tecnologías representan una expansión significativa más allá de las capacidades previamente documentadas del grupo de actores de amenaza de hafnio de élite de China, también conocido como tifón de seda.
Los hallazgos provienen de las acusaciones del Departamento de Justicia de los piratas informáticos chinos Xu Zewei y Zhang Yu, quienes supuestamente operaron bajo la dirección del Ministerio de Seguridad del Estado (MSS) de China a través de la Oficina de Seguridad del Estado de Shanghai.
Xu trabajó para Shanghai Powerock Network Company, mientras que Zhang Yu fue empleado en Shanghai Firetech Information Science and Technology Company.
Sentinellabs identificados patentes Archivado por Shanghai Firetech para tecnologías con aplicaciones ofensivas claras, que incluyen “software de recolección de evidencia automatizada remota”, “Software de recolección de evidencia integral de la computadora de Apple” y “software de recolección de evidencia inteligente de enrutador”.
En particular, la compañía posee al menos una patente para el software diseñado para recuperar archivos de las computadoras Apple de forma remota, una capacidad nunca antes documentada en el kit de herramientas conocido de Hafnium.
“La variedad de herramientas bajo el control de Shanghai Firetech excede las atribuidas públicamente a las atribuidas al hafnio y al tifón de seda”, dijo Dakota Cary, asesor estratégico centrado en China para Sentinellabs.
“Estas capacidades pueden haberse vendido a otras oficinas regionales de MSS y, por lo tanto, no se atribuyen al Hafnium, a pesar de ser propiedad de la misma estructura corporativa”.
Más preocupantes son las recientes presentaciones de patentes que sugieren capacidades adecuadas para las operaciones de inteligencia humana. Las patentes para la “plataforma de análisis inteligente de electrodomésticos”, “software de control inteligente de la red informática doméstica de largo alcance” y el “software de recolección de evidencia de teléfonos celulares remotos” podrían permitir una vigilancia sofisticada de las personas en sus hogares.
Las acusaciones del Departamento de Justicia revelan un ecosistema escalonado de contratistas cibernéticos chinos, con Shanghai Firetech operando al más alto nivel de confianza con los servicios de inteligencia.
A diferencia de las empresas de nivel inferior que venden acceso de manera oportunista, Shanghai Firetech trabajó en tareas específicas de los oficiales de MSS, lo que indica una relación continua y confiable con la principal agencia de inteligencia de China.
Las actividades de las compañías se remontan a los notorio ataques de Microsoft Exchange Server que explotaron vulnerabilidades de proxylogon, comprometiendo a miles de organizaciones en todo el mundo. Esa campaña provocó la primera declaración conjunta de la Unión Usia-Reino Unido condenando las actividades cibernéticas de China.
La investigación destaca las brechas críticas en la inteligencia actual de amenazas, donde las campañas suelen ser rastreadas por patrones de comportamiento en lugar de las organizaciones reales detrás de ellas.
“El seguimiento de los actores de amenaza generalmente vincula campañas y grupos de actividad con un actor nombrado”, explicó Cary. “Nuestra investigación demuestra la fortaleza para identificar no solo a las personas detrás de los ataques, sino también a las empresas para las que trabajan”.
Shanghai Firetech mantiene una subsidiaria en Chongqing que parece más grande que su sede de Shanghai, lo que sugiere operaciones más amplias en las oficinas regionales de MSS de China.
La ausencia de estas capacidades adicionales en la atribución pública del hafnio puede reflejar su uso en operaciones encubiertas o la decisión estratégica del FBI de revelar actividades solo ampliamente reconocidas en las acusaciones.
Las revelaciones subrayan la naturaleza sofisticada del ecosistema de contratación cibernética de China y el desafío que enfrentan los defensores al atribuir con precisión los ataques patrocinados por el estado a sus verdaderos operadores.
Integre cualquiera. Pruebe 50 búsquedas de prueba gratuitas
