UNC3886

UNC3886, denominado CAULDRON PANDA por CrowdStrike, es un conjunto de intrusos altamente cualificados que operan en apoyo directo de los objetivos de la inteligencia estatal china.

¿Está su organización a salvo de los ataques de UNC3886?

Origen de UNC3886

Activo desde al menos finales de 2021 e informado públicamente a partir de febrero de 2023, el grupo destaca por:

  • Experiencia en la explotación de día cero: se aprovecharon de cuatro vulnerabilidades distintas en productos de Fortinet y VMware (CVE-2022-41328, -42475; CVE-2023-20867, -34048) antes de que los parches de los proveedores estuvieran disponibles.
  • Disciplina de seguridad de las operaciones: uso de resolvedores de caída muerta (DDR) en GitHub, rootkits a medida y depuradores de registros para reducir los artefactos forenses.
  • Pila de malware híbrido: implantes propietarios (WhizShell, variante SideWalk, puertas traseras VMCI), herramientas de código abierto personalizadas (FastReverseProxy, TinyShell, REPTILE, MEDUSA) y abuso de canales SaaS de confianza (GitHub Pages, Google Drive) para C2 encubierto.

Este tipo de operaciones coincide en gran medida con las prioridades del Partido Comunista Chino (PCC) en materia de recopilación de información sobre las cadenas de suministro tecnológico, la investigación aeroespacial y la infraestructura mundial de telecomunicaciones.

Países destinatarios de UNC3886

La telemetría de campaña se concentra en torno a Estados Unidos y Singapur, con víctimas adicionales en el sudeste asiático, Oceanía y, en menor medida, Europa y África. La dispersión geográfica refleja los puntos globales donde se interconectan las cadenas de suministro aeroespacial aliadas de Estados Unidos y Taiwán y por donde transita el tráfico regional de telecomunicaciones.

Industrias a las que se dirige UNC3886

El UNC3886 se centra en organizaciones cuyas redes suministran o transportan comunicaciones estratégicas e IP técnica sensible. Entre los sectores confirmados se incluyen operadores de telecomunicaciones, empresas aeroespaciales comerciales y de satélites, proveedores de equipos de red, proveedores de cloudy (en una muestra más pequeña) laboratorios tecnológicos gubernamentales.

Víctimas de UNC3886

La información pública cita al menos:

  • Un gran proveedor de telecomunicaciones estadounidense (comprometido en febrero de 2023).
  • Fabricante aeroespacial estadounidense (intrusión descubierta en junio de 2024).
  • Operador de telecomunicaciones de Singapur (actividad paralela en junio de 2024).
  • Múltiples operadores anónimos cuyos hipervisores ESXi y dispositivos FortiGate fueron cooptados durante la "Campaña 23-022".
Método de ataque

Etapas de ataque de UNC3886

Una figura sombría tiende una amplia red sobre un paisaje digital repleto de diversos dispositivos, como ordenadores, teléfonos inteligentes y tabletas. La red simboliza los intentos del atacante de encontrar vulnerabilidades o utilizar técnicas de phishing para obtener acceso no autorizado.

Explota CVEs de día cero en FortiOS SSL-VPN y VMware vCenter/Tools; punto de apoyo alternativo a través de credenciales TACACS+ o SSH comprometidas cosechadas anteriormente.

Una escalera digital que se extiende hacia arriba desde un icono de usuario básico hacia una corona que simboliza privilegios administrativos. Esto representa los esfuerzos del atacante para obtener acceso de nivel superior dentro del sistema.

Carga módulos de kernel REPTILE modificados o rootkits LD_PRELOAD de MEDUSA para obtener root; abusa de los privilegios de vpxuser en ESXi para el control a nivel de host.

Un camaleón que se funde con un fondo digital, con ceros y unos fluyendo a su alrededor. Representa la capacidad del atacante para evitar ser detectado por las medidas de seguridad, cambiando de táctica para mezclarse con el tráfico normal de la red.

Oculta archivos/procesos mediante comandos REPTILE, instala yum-versionlock para congelar paquetes OpenSSH atrasados y ejecuta el limpiador de registros Hidemyass.

Un ladrón con una ganzúa trabajando en un ojo de cerradura gigante con forma de formulario de inicio de sesión, que representa los esfuerzos del atacante por robar credenciales de usuario para obtener acceso no autorizado.

Puertas traseras ssh/sshdLOOKOVER, que detecta el tráfico de TACACS+, vuelca las contraseñas cifradas de la base de datos de vCenter y captura las credenciales en memoria con el registro de claves MEDUSA.

Una lupa moviéndose sobre un mapa digital de una red, resaltando archivos, carpetas y conexiones de red. Esta imagen representa la fase en la que los atacantes exploran el entorno para comprender la estructura y dónde residen los datos valiosos.

Ejecuta a medida el binario estático de Nmap (sc) para barridos de puertos; enumera listas de invitados VMware y datos de interfaz de red de hosts FortiGate y ESXi.

Una serie de nodos interconectados con una figura sombría moviéndose sigilosamente entre ellos. Esto ilustra los movimientos del atacante dentro de la red, buscando obtener el control de sistemas adicionales o propagarse malware.

Aprovecha claves/contraseñas SSH robadas, sesiones administrativas de FortiGate y CVE-2023-20867 Guest Operations para pivotar entre máquinas virtuales y dispositivos de red.

Una gran aspiradora aspira archivos, iconos de datos y carpetas en una bolsa sostenida por una figura sombría. Esta imagen simboliza el proceso de recopilación de datos valiosos de la red objetivo.

Utiliza WhizShell y SideWalk para escenificar documentos y la salida de comandos; las puertas traseras VMCI (VIRTUALSHINE/-PIE/-SPHERE) transmiten shells interactivos para su recogida selectiva.

Una ventana de símbolo del sistema abierta delante de un fondo digital, con código malicioso siendo tecleado. Esto representa la fase en la que los atacantes ejecutan su carga maliciosa en el sistema comprometido.

Despliega TinyShell y FastReverseProxy para ejecutar comandos arbitrarios; activa cargas útiles a través de scripts systemd o scripts RC creados por rootkits.

Una serie de archivos que se canalizan a través de un canal encubierto desde un ordenador a una dirección cloud etiquetada con una calavera, que simboliza la transferencia no autorizada de datos a un lugar controlado por el atacante.

RIFLESPINE carga archivos cifrados a través de Google Drive; MOPSLED recupera las instrucciones C2 de GitHub y luego tuneliza los datos a través de TCP personalizado con ChaCha20.

Una pantalla agrietada con un paisaje urbano digital en caos detrás, que simboliza el impacto destructivo del ciberataque, como la interrupción del servicio, la destrucción de datos o las pérdidas financieras.

El objetivo principal es el espionaje, pero el impacto secundario incluye la persistencia de los dispositivos de red y la posible manipulación de la cadena de suministro; hasta la fecha no se han observado cargas destructivas.

Una figura sombría tiende una amplia red sobre un paisaje digital repleto de diversos dispositivos, como ordenadores, teléfonos inteligentes y tabletas. La red simboliza los intentos del atacante de encontrar vulnerabilidades o utilizar técnicas de phishing para obtener acceso no autorizado.
Acceso inicial

Explota CVEs de día cero en FortiOS SSL-VPN y VMware vCenter/Tools; punto de apoyo alternativo a través de credenciales TACACS+ o SSH comprometidas cosechadas anteriormente.

Una escalera digital que se extiende hacia arriba desde un icono de usuario básico hacia una corona que simboliza privilegios administrativos. Esto representa los esfuerzos del atacante para obtener acceso de nivel superior dentro del sistema.
Escalada de privilegios

Carga módulos de kernel REPTILE modificados o rootkits LD_PRELOAD de MEDUSA para obtener root; abusa de los privilegios de vpxuser en ESXi para el control a nivel de host.

Un camaleón que se funde con un fondo digital, con ceros y unos fluyendo a su alrededor. Representa la capacidad del atacante para evitar ser detectado por las medidas de seguridad, cambiando de táctica para mezclarse con el tráfico normal de la red.
Defensa Evasión

Oculta archivos/procesos mediante comandos REPTILE, instala yum-versionlock para congelar paquetes OpenSSH atrasados y ejecuta el limpiador de registros Hidemyass.

Un ladrón con una ganzúa trabajando en un ojo de cerradura gigante con forma de formulario de inicio de sesión, que representa los esfuerzos del atacante por robar credenciales de usuario para obtener acceso no autorizado.
Acceso con credenciales

Puertas traseras ssh/sshdLOOKOVER, que detecta el tráfico de TACACS+, vuelca las contraseñas cifradas de la base de datos de vCenter y captura las credenciales en memoria con el registro de claves MEDUSA.

Una lupa moviéndose sobre un mapa digital de una red, resaltando archivos, carpetas y conexiones de red. Esta imagen representa la fase en la que los atacantes exploran el entorno para comprender la estructura y dónde residen los datos valiosos.
Descubrimiento

Ejecuta a medida el binario estático de Nmap (sc) para barridos de puertos; enumera listas de invitados VMware y datos de interfaz de red de hosts FortiGate y ESXi.

Una serie de nodos interconectados con una figura sombría moviéndose sigilosamente entre ellos. Esto ilustra los movimientos del atacante dentro de la red, buscando obtener el control de sistemas adicionales o propagarse malware.
Movimiento lateral

Aprovecha claves/contraseñas SSH robadas, sesiones administrativas de FortiGate y CVE-2023-20867 Guest Operations para pivotar entre máquinas virtuales y dispositivos de red.

Una gran aspiradora aspira archivos, iconos de datos y carpetas en una bolsa sostenida por una figura sombría. Esta imagen simboliza el proceso de recopilación de datos valiosos de la red objetivo.
Colección

Utiliza WhizShell y SideWalk para escenificar documentos y la salida de comandos; las puertas traseras VMCI (VIRTUALSHINE/-PIE/-SPHERE) transmiten shells interactivos para su recogida selectiva.

Una ventana de símbolo del sistema abierta delante de un fondo digital, con código malicioso siendo tecleado. Esto representa la fase en la que los atacantes ejecutan su carga maliciosa en el sistema comprometido.
Ejecución

Despliega TinyShell y FastReverseProxy para ejecutar comandos arbitrarios; activa cargas útiles a través de scripts systemd o scripts RC creados por rootkits.

Una serie de archivos que se canalizan a través de un canal encubierto desde un ordenador a una dirección cloud etiquetada con una calavera, que simboliza la transferencia no autorizada de datos a un lugar controlado por el atacante.
Exfiltración

RIFLESPINE carga archivos cifrados a través de Google Drive; MOPSLED recupera las instrucciones C2 de GitHub y luego tuneliza los datos a través de TCP personalizado con ChaCha20.

Una pantalla agrietada con un paisaje urbano digital en caos detrás, que simboliza el impacto destructivo del ciberataque, como la interrupción del servicio, la destrucción de datos o las pérdidas financieras.
Impacto

El objetivo principal es el espionaje, pero el impacto secundario incluye la persistencia de los dispositivos de red y la posible manipulación de la cadena de suministro; hasta la fecha no se han observado cargas destructivas.

MITRE ATT&CK Cartografía

TTPs utilizados por UNC3886

TA0001: Initial Access
T1190
Exploit Public-Facing Application
T1133
External Remote Services
TA0002: Execution
No items found.
TA0003: Persistence
T1554
Compromise Host Software Binary
T1543
Create or Modify System Process
T1205
Traffic Signaling
TA0004: Privilege Escalation
T1543
Create or Modify System Process
T1068
Exploitation for Privilege Escalation
TA0005: Defense Evasion
T1036
Masquerading
T1070
Indicator Removal
T1205
Traffic Signaling
TA0006: Credential Access
T1056
Input Capture
T1040
Network Sniffing
TA0007: Discovery
T1046
Network Service Discovery
T1040
Network Sniffing
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
T1185
Browser Session Hijacking
TA0011: Command and Control
T1205
Traffic Signaling
TA0010: Exfiltration
T1567
Exfiltration Over Web Service
TA0040: Impact
No items found.

Preguntas frecuentes

¿Cómo suele llegar primero UNC3886?

¿Qué indicadores tempranos debemos buscar?

¿Qué telemetría EDR expone mejor REPTILE?

¿Pueden los controles en red detener a RIFLESPINE?

¿Qué fuentes de registro ayudan a detectar el robo de credenciales de TACACS+?

¿Es suficiente el endurecimiento SSH estándar?

¿Cómo podemos detectar el abuso de VMCI dentro de ESXi?

¿Qué respuesta inmediata si se encuentra WhizShell?

¿Ayuda la autenticación multifactor (AMF)?

¿Mitigación recomendada a largo plazo?