- El grupo Weaver Ant infiltró proveedores de telecomunicaciones usando técnicas sigilosas.
- La campaña permaneció sin ser detectada durante más de cuatro años.
Lo que ocurrió:Campaña sigilosa de espionaje en telecomunicaciones expuesta
Un grupo de hackers vinculado a China, apodado Weaver Ant, infiltró en secreto varios proveedores de telecomunicaciones asiáticos durante al menos cuatro años, según un informe de la firma de ciberseguridadSygnia. Los atacantes aprovecharon técnicas avanzadas, incluyendo túneles encriptados y shells web, para mantener la persistencia y evitar la detección.
Los hackers usaron routers domésticos Zyxel comprometidos en el sudeste asiático como una red de retransmisión, ocultando efectivamente su origen. Esto les permitió realizar operaciones de espionaje a largo plazo, recolectar credenciales y monitorear la actividad de la red interna. Los atacantes también desplegaron un shell web previamente no descubierto llamado INMemory, que ejecuta cargas directamente en la memoria del servidor, dejando poco rastro forense.
La investigación de Sygnia reveló que Weaver Ant utilizó una red no aprovisionada decaja de retransmisión operativa (ORB)para redirigir el tráfico malicioso, ocultando aún más su infraestructura. El grupo también demostró un alto nivel de adaptabilidad, pasando de un proveedor de telecomunicaciones a otro a través de dispositivos comprometidos, evadiendo las medidas de seguridad en el camino.
La violación salió a la luz accidentalmente durante una investigación no relacionada de Sygnia, cuando una cuenta previamente deshabilitada fue reactivada por una cuenta de servicio. Esta reactivación llevó a los analistas a descubrir la campaña de espionaje más amplia, confirmando el acceso extenso de Weaver Ant a múltiples redes de telecomunicaciones.
Lea también:Telcos en una encrucijada: el llamado a la acción de IA de Google Cloud
Lea también:NVIDIA AI: Revolucionando las telcos con AI-RAN y GenAI
Por qué es importante
La revelación de esta campaña pone de relieve la vulnerabilidad de la infraestructura crítica de telecomunicaciones ante operaciones prolongadas de ciberespionaje. Los proveedores de telecomunicaciones, al ser centrales para las comunicaciones, son objetivos lucrativos para actores estatales que buscan inteligencia sobre actividades gubernamentales, empresariales e individuales.
Al usar routers domésticos como retransmisores, los atacantes eludieron efectivamente los sistemas tradicionales de detección de redes. Este enfoque, junto con el uso de shells web basados en memoria, demuestra una evolución en las técnicas de hacking, haciendo más difícil para los equipos de seguridad rastrear o bloquear la intrusión.
Además, la persistencia del ataque durante varios años sugiere que los operadores de telecomunicaciones pueden enfrentar debilidades sistémicas en sus marcos de seguridad. El incidente subraya la necesidad de monitoreo continuo, sistemas avanzados de detección de amenazas y medidas proactivas de ciberseguridad para prevenir violaciones similares.

