En lo que ya se perfila como otra campaña dirigida a la columna vertebral de las comunicaciones, investigadores de Cisco Talos han detectado desde 2024 una serie de intrusiones enfocadas en proveedores de telecomunicaciones en América del Sur. El adversario, identificado por Talos como UAT-9244, despliega herramientas diseñadas para infiltrarse en servidores Windows, sistemas Linux embebidos y equipos de borde de red, lo que pone en riesgo no solo la confidencialidad de datos sino la disponibilidad de servicios críticos que dependen de esa infraestructura.
El informe de Talos, disponible públicamente, describe tres familias de implantes que no habían sido documentadas con anterioridad y que actúan en distintos niveles del ecosistema: una puerta trasera para máquinas Windows, otra para Linux con arquitectura peer‑to‑peer y un escáner de fuerza bruta concebido para convertir equipos de borde en nodos de ataque. Puedes consultar el análisis técnico en el blog de Cisco Talos para ver los indicadores y las observaciones completas: https://blog.talosintelligence.com/uat-9244/.
En Windows la amenaza aparece bajo el nombre TernDoor. La técnica elegida por el atacante es la de cargar una librería maliciosa mediante una ejecución legítima del sistema —un método conocido como DLL side‑loading— aprovechando el binario wsprint.exe para ejecutar una DLL troceada que descifra y lanza el payload final en memoria. Para mantenerse en el sistema, la muestra emplea mecanismos tradicionales de persistencia como tareas programadas o entradas en la clave Run del Registro. Además, esta puerta trasera incorpora un conductor (driver) pensado para suspender, reanudar o terminar procesos, y dispone de un interruptor de desinstalación que borra sus restos del equipo si se invoca.
En el mundo Linux la pieza central es PeerTime, un backdoor con un diseño notablemente flexible: está compilado para arquitecturas como ARM, AARCH64, PowerPC y MIPS para abarcar routers, gateways y otros sistemas embebidos. Su despliegue suele incluir un binario instrumentador que comprueba la presencia de Docker antes de cargar el cargador de PeerTime, e incluso contiene cadenas de depuración en chino simplificado, un detalle que ha llamado la atención de los analistas. El loader desencripta y descomprime el payload en memoria y la comunicación de control utiliza un mecanismo peer‑to‑peer basado en el protocolo BitTorrent para distribuir información de comando y control y para obtener módulos adicionales desde otros nodos comprometidos.
Finalmente, en la periferia de la red los atacantes colocan un componente apodado BruteEntry. Se trata de un conjunto de scripts y binarios en Go que transforman routers y dispositivos de borde en lo que los investigadores llaman un Operational Relay Box (ORB): nodos que escanean en masa y ejecutan ataques de fuerza bruta contra servicios como Postgres, SSH o servidores Tomcat. El flujo de trabajo descrito por Talos muestra un orquestador que entrega el escáner y que consulta al servidor de mando y control la lista de objetivos; cuando la credencial es válida, el resultado se reporta de vuelta para su explotación.
Talos apunta además a solapamientos tácticos con otro cluster identificado como FamousSparrow y con el grupo apodado Salt Typhoon, conocido por su interés en operadores de telecomunicaciones, aunque los investigadores dejan claro que no hay pruebas concluyentes que permitan afirmar que se trate exactamente del mismo actor. Este detalle remarca una realidad problemática: distintos equipos con capacidades similares y objetivos parecidos pueden operar de forma paralela o intercambiar herramientas, lo que complica atribuciones rápidas y seguras.
El vector de entrada inicial no está plenamente establecido en el informe, pero los precedentes de este actor y otros similares sugieren que sistemas desactualizados —por ejemplo servidores Windows o instancias expuestas de Microsoft Exchange— han sido objetivo frecuente para desplegar web shells y escalar actividad. Por eso, la superficie de riesgo sigue siendo la misma: software sin parches, dispositivos de borde mal configurados y canales de administración expuestos.
Desde la perspectiva operacional, la campaña combina técnicas tradicionales y algunas de más nivel: la carga en memoria y el uso de drivers para ocultación en Windows, el empleo de BitTorrent en Linux para descentralizar la entrega de comandos, y la explotación de dispositivos edge para amplificar escaneos y ataques de fuerza bruta. Ese cruce de aproximaciones hace que la detección no sea trivial; muchas de las señales anómalas pueden confundirse con tráfico legítimo o con herramientas de administración remota mal configuradas.
Para quien administra redes de telecomunicaciones —o cualquier infraestructura crítica— esto significa que hay que reforzar varias capas a la vez: mantener sistemas plenamente actualizados, segmentar el tráfico de administración, endurecer credenciales y accesos remotos, y aplicar controles de comportamiento que detecten ejecución de código en memoria, cargas anómalas por procesos legítimos como wsprint.exe o msiexec.exe, y comunicación BitTorrent inesperada desde servidores empresariales. También es importante auditar y proteger dispositivos de borde; son precisamente esos equipos los que, cuando quedan comprometidos, pueden convertirse en palancas para escalar ataques o en relés para campañas masivas.
Si buscas contextualizar este tipo de amenazas dentro de un marco mayor de tácticas y técnicas, la matriz MITRE ATT&CK es una buena referencia para entender las técnicas habituales que emplean los actores persistentes; su material ayuda a mapear detecciones y controles frente a tácticas como carga lateral de librerías, persistencia o uso de protocolos no convencionales para C2: https://attack.mitre.org/. Para una visión de amenazas más amplia sobre cómo los adversarios apuntan a sectores críticos, los informes de agencias y organismos de ciberseguridad como la Agencia de la Unión Europea para la Ciberseguridad (ENISA) ofrecen análisis anuales y recomendaciones útiles: https://www.enisa.europa.eu.
En definitiva, el hallazgo de Talos subraya que los proveedores de servicios de telecomunicaciones siguen siendo objetivos atractivos para grupos con recursos. El intercambio de herramientas y la reutilización de tácticas entre clusters hacen que la defensa de estas redes deba ser proactiva, en capas y preparada para detectar comportamientos más allá de solo firmas conocidas. Y aunque las investigaciones técnicas como la de Cisco ayudan a identificar indicadores concretos, la mitigación real pasa por mantener higiene de ciberseguridad, visibilidad sobre el tráfico y la ejecución en memoria, y procedimientos de respuesta que permitan neutralizar nodos comprometidos antes de que se conviertan en plataformas de ataque más amplias.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...