Google ha anunciado una intervención contra la infraestructura usada por un grupo de ciberespionaje al que rastrean como UNC2814, atribuido a actores con presunta vinculación a China, después de encontrar pruebas de compromisos en decenas de organizaciones a lo largo de todo el mundo. Según el equipo de inteligencia de amenazas de Google junto con colaboradores externos, la campaña afectó a entidades en múltiples continentes y se apoyó en técnicas poco convencionales para ocultar su actividad maliciosa dentro de servicios legítimos en la nube. La intervención incluyó la desactivación de proyectos de Google Cloud controlados por los atacantes y la revocación del acceso a cuentas y llamadas a la API que estaban siendo abusadas como canal de mando y control. (informe de Google).
El componente central detectado por los investigadores es un backdoor nuevo bautizado como GRIDTIDE, desarrollado en lenguaje C, que aprovecha la API de Google Sheets como un conducto de comunicación. En lugar de usar servidores C2 tradicionales, los atacantes escriben y leen celdas en hojas de cálculo para enviar órdenes, recibir resultados de comandos y transferir archivos. Esta técnica convierte tráfico que a simple vista parece benigno —peticiones a una API de un servicio de productividad— en una canalización de control persistente y difícil de distinguir del uso legítimo.
En términos prácticos, GRIDTIDE implementa un mecanismo de sondeo por celdas: ciertas posiciones en la hoja actúan como buzones para instrucciones, otras como depósitos temporales para la salida de comandos y archivos, y algunas más como registros del sistema infectado. El malware permite subir y descargar archivos y ejecutar comandos de shell de forma remota, lo que lo convierte en una herramienta completa para reconocimiento, extracción de información y establecimiento de persistencia. Aunque Google no observó, durante la campaña descrita, un traslado masivo de datos fuera de las redes comprometidas, sí hallaron que el malware se instaló en endpoints que contenían información personal identificable, un indicio claro de interés en vigilancia selectiva y ciberespionaje.
Los ataques muestran además un patrón de explotación del perímetro de red y recursos de infraestructura. Los investigadores señalan que los actores iniciales parecen haber conseguido acceso mediante compromisos en servidores web y dispositivos en el borde de la red, y luego se movieron lateralmente dentro de los entornos corporativos aprovechando cuentas de servicio y conexiones SSH. Es habitual que estos adversarios recurran a binarios “living-off-the-land” —herramientas legítimas del sistema operativo— para ejecutar reconocimiento, elevar privilegios y lanzar código sin activar fácilmente las defensas, lo que complica su detección.
Para afianzarse, los atacantes emplearon métodos tradicionales de persistencia en sistemas Linux, creando un servicio systemd que ejecutaba el binario malicioso de forma recurrente. También se observó la utilización de SoftEther VPN Bridge para establecer canales cifrados salientes hacia direcciones externas; justamente, la comunidad de seguridad ha documentado el uso de SoftEther en operaciones previas atribuidas a grupos vinculados a China, por su flexibilidad y porque permite túneles difíciles de distinguir del tráfico VPN legítimo (sitio del proyecto SoftEther).
Google describe la campaña como una de las más extensas y de mayor alcance que han visto en los últimos años, con compromisos confirmados o sospechados en un número muy amplio de países y objetivos que incluyen operadores de telecomunicaciones y organismos gubernamentales. Como parte de su respuesta, el proveedor eliminó la infraestructura en la nube controlada por los atacantes y emitió notificaciones formales a las organizaciones afectadas, además de ofrecer apoyo activo a las víctimas con intrusiones verificadas. La empresa advierte que, aunque la desactivación representa un golpe significativo, estos grupos suelen invertir años en construir acceso persistente y trabajarán para volver a establecerse.
El caso de GRIDTIDE subraya varios retos que enfrentan las defensas modernas: por un lado, el uso de APIs y servicios SaaS como canales de C2 obliga a repensar qué tráfico consideramos “de confianza”; por otro, el borde de la red —aparatos y servicios expuestos a Internet— continúa siendo un objetivo privilegiado porque muchos de esos dispositivos carecen de detección de malware y, si se comprometen, ofrecen un camino directo hacia recursos internos. Un análisis reciente sobre tendencias en el borde recoge cómo estas superficies se han convertido en objetivos atractivos para intrusiones a escala global (informe de GreyNoise).
Para organizaciones preocupadas por este tipo de amenazas, la lección es doble: hay que reforzar tanto la seguridad del perímetro como el control y la supervisión del uso de APIs y cuentas de servicio en la nube. Es recomendable auditar y restringir permisos de cuentas de servicio, vigilar patrones inusuales de llamadas a APIs de terceros, registrar y analizar el uso de herramientas administrativas y aplicar segmentación de red que limite la capacidad de movimiento lateral. También es clave tener procedimientos claros para revocar credenciales y cerrar proyectos en la nube ante indicios de compromiso, como hizo Google en este caso.
En definitiva, la operación contra UNC2814 y la exposición de GRIDTIDE muestran cómo los adversarios avanzan en creatividad al aprovechar servicios legítimos para ocultar su actividad. La protección frente a campañas sofisticadas exige combinar vigilancia continua, controles de identidad y acceso, y una rápida capacidad de respuesta coordinada entre proveedores de nube y las organizaciones afectadas. La buena noticia es que acciones coordinadas como la descrita pueden mitigar una parte importante del daño y obligar a los atacantes a recomponer sus infraestructuras, aunque no eliminan por sí solas la amenaza a largo plazo.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...