Chinese hackers breached Asian telcos for years

• El grupo Weaver Ant infiltró proveedores de telecomunicaciones utilizando técnicas sigilosas.
• La campaña permaneció sin ser detectada durante más de cuatro años.

Qué sucedió: Expuesta una campaña sigilosa de espionaje en telecomunicaciones

Un grupo de hackers vinculado a China, denominado Weaver Ant, se infiltró en secreto en varios proveedores de telecomunicaciones asiáticos durante un período de al menos cuatro años, según un informe de la firma de ciberseguridad Sygnia. Los atacantes utilizaron técnicas avanzadas, como túneles cifrados y shells web, para mantener la persistencia y evitar la detección.

Los hackers usaron routers domésticos Zyxel comprometidos en el sudeste asiático como una red de retransmisión, enmascarando eficazmente su origen. Esto les permitió llevar a cabo operaciones de espionaje a largo plazo, recolectar credenciales y monitorear la actividad de la red interna. Los atacantes también desplegaron un shell web previamente no descubierto llamado INMemory, que ejecuta cargas útiles directamente en la memoria del servidor, dejando poco rastro forense. Ver también: Ziggo Group nombra a sus líderes antes de su salida a bolsa en Ámsterdam en 2027.

La investigación de Sygnia reveló que Weaver Ant utilizó una red de cajas de retransmisión operativas (ORB) no aprovisionada para canalizar tráfico malicioso, ocultando aún más su infraestructura. El grupo también demostró un alto nivel de adaptabilidad, moviéndose de un proveedor de telecomunicaciones a otro a través de dispositivos comprometidos, eludiendo las medidas de seguridad en el camino.

La brecha salió a la luz accidentalmente durante una investigación no relacionada de Sygnia, cuando una cuenta previamente deshabilitada fue reactivada por una cuenta de servicio. Esta reactivación llevó a los analistas a descubrir la campaña de espionaje más amplia, confirmando el acceso extenso de Weaver Ant a múltiples redes de telecomunicaciones. Ver también: Alejandro Estua.

Lea también: Las telecos en una encrucijada: el llamado a la acción de IA de Google Cloud
Lea también: NVIDIA AI: Revolucionando las telecos con AI-RAN y GenAI

Por qué es importante

La revelación de esta campaña pone de relieve la vulnerabilidad de la infraestructura crítica de telecomunicaciones frente a operaciones prolongadas de ciberespionaje. Los proveedores de telecomunicaciones, al ser centrales para las comunicaciones, son objetivos lucrativos para actores estatales que buscan inteligencia sobre actividades gubernamentales, empresariales e individuales. Ver también: Alejandro Manzo.

Al usar routers domésticos como relevos, los atacantes eludieron eficazmente los sistemas de detección de redes tradicionales. Este enfoque, junto con el uso de shells web basados en memoria, demuestra una evolución en las técnicas de piratería, lo que dificulta que los equipos de seguridad rastreen o bloqueen la intrusión. Ver también: Alejandro Hernandez.

Además, la persistencia del ataque durante varios años sugiere que los operadores de telecomunicaciones pueden enfrentar debilidades sistémicas en sus marcos de seguridad. El incidente subraya la necesidad de monitoreo continuo, sistemas avanzados de detección de amenazas y medidas proactivas de ciberseguridad para prevenir brechas similares. Ver también: Alejandro Garza.