Grupo de ciberespionaje chino mantuvo acceso encubierto a una red corporativa aislada durante una década

Qué pasó

El equipo de respuesta ante incidentes de Sygnia identificó una campaña de ciberespionaje de prolongada duración, denominada Operation Highland, atribuida al grupo conocido como Velvet Ant y vinculado a operadores de inteligencia chinos. La intrusión se inició en 2016, cuando los atacantes comprometieron sistemas expuestos a internet para luego pivotar hacia una red con separación física (air-gapped) que carecía de conectividad externa directa, utilizada por una organización dueña de infraestructura crítica de gran tamaño.

Según el informe, los hackers tomaron el control de la pila de autenticación institucional, lo que les permitió mantener persistencia durante una década con visibilidad completa sobre las operaciones administrativas. La intrusión se desarrolló en varias etapas: primero, el compromiso de servidores perimetrales mediante una puerta trasera personalizada basada en GS-Netcat, un shell reverso modificado que se hacía pasar por un componente legítimo del sistema y se conectaba a un dominio de retransmisión con direcciones codificadas.

Posteriormente, los operadores instalaron un proxy SOCKS5 a medida que funcionaba como servicio en segundo plano, simulando ser un demonio Samba ('smbd -D') y utilizando distintos nombres de archivo y puertos en cada host comprometido. Este componente permitió el tunelizado del tráfico hacia sistemas internos inaccesibles desde el exterior. La fase más sofisticada consistió en la construcción de un canal de ejecución remota hacia la red aislada: los atacantes modificaron la configuración de un servidor Nginx expuesto a internet para proxyar solicitudes específicas hacia un servidor backend comprometido, cuya configuración Nginx fue alterada para reenviar las peticiones a un proceso FastCGI (fcgiwrap). Este actuaba como puente de ejecución, lanzando un binario personalizado llamado 'uptime' que establecía conexiones SSH hacia sistemas dentro de la red aislada.

Velvet Ant ya había sido identificado en 2024, cuando Sygnia advirtió sobre una campaña dirigida a dispositivos F5 BIG-IP que operó sin ser detectada durante tres años. Ese mismo año, Cisco alertó sobre una vulnerabilidad de día cero en NX-OS ejecutada en switches Nexus, explotada por el mismo grupo para acceder a objetivos corporativos y gubernamentales. La persistencia documentada en Operation Highland representa una de las intrusiones de mayor duración registradas en infraestructura crítica aislada.

Contexto

El caso descrito se inscribe en una tendencia creciente de operaciones de ciberespionaje de largo plazo atribuidas a actores estatales, particularmente a grupos vinculados al gobierno chino. La estrategia de comprometer redes air-gapped, consideradas durante años como el estándar de referencia para entornos de alta sensibilidad, refleja la sofisticación técnica alcanzada por estos colectivos y la diversificación de sus vectores de ataque.

La modificación de componentes de software de uso común, como servidores Nginx, para construir canales encubiertos de comando y control representa una evolución respecto a las tácticas tradicionales basadas en malware dedicado. Al abusar de herramientas legítimas y protocolos estándar, los atacantes reducen la superficie de detección y dificultan la labor de los equipos de seguridad, que deben distinguir entre tráfico operativo normal y actividad maliciosa.

La revelación de Sygnia se suma a un conjunto creciente de informes de empresas como Mandiant, CrowdStrike y Microsoft, que durante los últimos años han documentado la presencia sostenida de grupos de amenaza avanzados persistentes (APT) en redes corporativas y gubernamentales a nivel global. Velvet Ant forma parte de un ecosistema más amplio de actores chinos que han sido vinculados a campañas contra sectores como defensa, telecomunicaciones, energía y manufactura avanzada, con énfasis en el robo de propiedad intelectual y la recopilación de inteligencia estratégica.

En el ámbito regional, este tipo de operaciones ha generado creciente preocupación en autoridades regulatorias y empresas de servicios básicos, particularmente tras los compromisos de供应链 documentados en años recientes, que han motivado el desarrollo de marcos normativos más estrictos en materia de ciberseguridad industrial y protección de infraestructura crítica.

Impacto para empresas chilenas

Aunque el caso documentado por Sygnia corresponde a una organización de gran envergadura, sus implicaciones son relevantes para el tejido empresarial chileno, en especial para empresas que gestionan infraestructura crítica en sectores como energía, banca, telecomunicaciones y servicios sanitarios, así como para aquellas con arquitecturas híbridas que combinan entornos conectados y segmentados.

La persistencia demostrada por Velvet Ant durante una década en un entorno air-gapped pone en evidencia que el modelo tradicional de 'separación física como garantía de seguridad' resulta insuficiente cuando existen puntos de convergencia, como servidores proxy o middleware, que conectan ambos mundos. En Chile, donde un número creciente de empresas de mediano y gran tamaño ha adoptado este tipo de arquitecturas, el caso subraya la necesidad de auditar periódicamente los componentes de borde y los procesos de autenticación que actúan como puente entre redes.

Para las pymes y empresas de menor tamaño que forman parte de cadenas de suministro de grandes corporaciones, el riesgo es igualmente significativo. Una brecha en un proveedor tecnológico, un integrador o un socio de menor madurez en seguridad puede convertirse en el vector inicial de una intrusión que comprometa ecosistemas completos. La experiencia internacional ha demostrado que los atacantes sofisticados identifican al eslabón más débil de la cadena para acceder a objetivos de mayor valor.

A nivel regulatorio, el país avanza en la implementación de la Ley Marco de Ciberseguridad y en la actualización de normativas sectoriales, pero los especialistas coinciden en que el marco institucional debe acompañarse de inversión sostenida en capacidades técnicas, monitoreo avanzado y培养 de talento especializado, áreas en las que Chile aún presenta brechas respecto a países de la OCDE.

Qué sigue

La revelación de Operation Highland probablemente motive a los equipos de seguridad corporativos a reevaluar los supuestos sobre los que descansan sus arquitecturas segmentadas, en particular la presunción de que la ausencia de conectividad directa a internet equivale a un aislamiento efectivo. Investigaciones forenses más profundas podrían revelar indicadores de compromiso adicionales, y se espera que厂商 de software afectado emitan recomendaciones específicas para sus clientes.

En el corto plazo, el caso refuerza la tendencia hacia la adopción de modelos de 'confianza cero' (zero trust), monitoreo continuo de identidad y análisis de comportamiento como pilares de la estrategia de defensa, incluso en entornos considerados tradicionalmente como los más resguardados.