Desde 2024, un actor persistente vinculado a China, identificado por los investigadores como UAT-9244, ha centrado su atención en proveedores de servicios de telecomunicaciones en Sudamérica, comprometiendo tanto equipos con Windows y Linux como dispositivos en el borde de la red. La capacidad de operar sobre múltiples sistemas y arquitecturas indica una planificación orientada a atacar la infraestructura crítica del sector de las comunicaciones, un blanco estratégico que puede amplificar el impacto de cualquier intrusión.
El equipo de investigación de Cisco Talos, que ha venido siguiendo esta actividad, señala que UAT-9244 comparte herramientas, tácticas y perfiles de víctimas con grupos conocidos como FamousSparrow y Tropic Trooper, aunque prefieren rastrear este conjunto de operaciones como una cluster independiente. Los analistas consideran esta atribución con un alto grado de confianza, pero, al mismo tiempo, advierten que, pese a la similitud en objetivos con otros colectivos como Salt Typhoon, no existe evidencia definitiva que unifique todas estas campañas en un único actor. Para quienes quieran leer el análisis técnico original y los IoC publicados por los investigadores, el informe de Talos está disponible aquí: Cisco Talos — informe sobre UAT-9244.
La campaña destaca por la aparición de tres familias de malware que hasta ahora no habían sido documentadas públicamente. En entornos Windows aparece un backdoor que los investigadores denominan TernDoor. Esta amenaza aprovecha una técnica de DLL side-loading para cargar código malicioso desde una librería que aparenta ser legítima y, una vez dentro del sistema, inyecta la carga final en procesos de confianza. Además, incorpora un controlador de dispositivo propio que le permite gestionar a voluntad la ejecución de procesos —detenerlos, suspenderlos y reanudarlos—, y establece persistencia mediante tareas programadas y modificaciones en el registro de Windows que buscan ocultar sus rastros. Entre sus capacidades están la ejecución remota de comandos, la manipulación de archivos, la recolección de información del sistema y la posibilidad de desinstalarse de forma controlada.
En el lado Linux, la familia bautizada como PeerTime atrae la atención por haber sido desarrollada para una amplia gama de arquitecturas —ARM, AARCH, PPC y MIPS—, lo que sugiere un objetivo claro: dispositivos embebidos y equipos de red que abundan en entornos de telecomunicaciones. PeerTime se distribuye en dos variantes —una en C/C++ y otra escrita en Rust— y utiliza una metodología poco convencional para su canal de comando y control: el protocolo BitTorrent. Esto le permite comunicarse en modo peer-to-peer, descargar y ejecutar cargas desde otros pares, y valerse de utilidades comunes en sistemas embebidos, como BusyBox, para escribir archivos en el host. Los investigadores también han observado cadenas de depuración en chino simplificado en herramientas instrumentadoras asociadas al malware, un indicio adicional acerca del posible origen de las utilidades usadas por los atacantes.
Completa el trío una herramienta llamada BruteEntry, que incluye un binario instrumentor escrito en Go y un módulo de fuerza bruta. El propósito de esta pieza es convertir dispositivos ya comprometidos en nodos de escaneo y explotación, denominados por los atacantes como Operational Relay Boxes (ORBs). Desde esos nodos se realizan barridos en busca de nuevos objetivos y se lanzan intentos de acceso por fuerza bruta contra servicios como SSH, bases de datos Postgres y servidores Tomcat. Los resultados de los intentos de acceso, junto con el estado de las tareas, son reportados de vuelta al comando y control que opera la campaña.
La conjunción de estas tres familias plantea un tablero de ataque donde la penetración inicial en dispositivos de borde puede transformar rápidamente a esos aparatos en plataformas de reconocimiento y pivoteo, alimentando una red de proxies que hace más difícil atribuir y contener la operación. El uso de protocolos P2P como BitTorrent para la comunicación de comando y control y la creación de infraestructura ORB son tácticas destinadas a aumentar la resiliencia de la campaña frente a esfuerzos de detección y bloqueo.
Para los equipos de seguridad de operadores de telecomunicaciones esta investigación ofrece indicaciones prácticas: revisar la telemetría relacionada con ejecuciones inusuales de procesos de sistema, buscar signos de DLL side-loading y monitorizar tareas programadas y cambios sospechosos en el registro de Windows que intenten ocultar persistencia. En entornos Linux y en dispositivos embebidos conviene prestar atención a procesos que se renombren para aparentar legitimidad, actividad anómala relacionada con BusyBox y tráfico BitTorrent saliente con patrones inusuales en equipos que no deberían estar participando en redes P2P. Además, la presencia de intentos masivos de autenticación fallida contra SSH, Postgres o Tomcat puede ser una señal temprana de máquinas empleadas para fuerza bruta. Cisco Talos incluye en su informe indicadores de compromiso que los equipos de respuesta pueden usar como punto de partida para la detección y el bloqueo de estas intrusiones: IoC y análisis técnico en Talos.
Más allá de la respuesta técnica inmediata, este tipo de campañas vuelve a poner sobre la mesa la necesidad de fortalecer la ciberresiliencia del sector de las comunicaciones. Los proveedores de servicios deben reforzar la segmentación de la red, aplicar controles de acceso estrictos, exigir autenticación multifactor para administrativos y servicios críticos, endurecer las configuraciones de dispositivos de borde y mantener una política de parcheo activa. Para quienes gestionan infraestructuras críticas, resulta útil consultar recursos oficiales sobre protección del sector de comunicaciones y buenas prácticas de seguridad: la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. mantiene guías y avisos destinados al sector de las comunicaciones que pueden servir como referencia operativa: CISA — Communications Sector.
Por su parte, la comunidad de inteligencia y los equipos de respuesta cuentan con marcos como MITRE ATT&CK para correlacionar técnicas observadas y enriquecer reglas de detección. Entender las técnicas de persistencia, evasión e intrusión descritas por Talos ayuda a mapear las observaciones en detecciones practicas y priorizar mitigaciones: MITRE ATT&CK.
La aparición de UAT-9244 y sus herramientas confirma que los atacantes siguen innovando, adaptando sus arsenales para comprometer dispositivos heterogéneos y usar canales menos convencionales de comunicación. La lección para operadores y responsables de seguridad es clara: la superficie de ataque se ha ampliado y las defensas deben evolucionar en consecuencia, reforzando la visibilidad, el control de accesos y la respuesta frente a comportamientos anómalos en toda la cadena de la infraestructura.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...