UNC5221

UNC5221 es un grupo de espionaje chino patrocinado por el Estado y especializado en la explotación de dispositivos conectados a Internet, que utiliza malware personalizado y técnicas de persistencia para infiltrarse en organismos gubernamentales, de defensa, infraestructuras críticas y empresas de alto valor de todo el mundo.

¿Está su organización a salvo de los ataques UNC5221?

El origen de UNC5221

UNC5221 es un supuesto grupo de amenazas persistentes avanzadas (APT) patrocinado por el Estado chino, identificado públicamente por primera vez a finales de 2023 por Mandiant. El grupo es conocido por sus campañas de espionaje muy selectivas centradas en infraestructuras orientadas a Internet, en particular dispositivos VPN y dispositivos periféricos. UNC5221 opera con un nivel de sofisticación coherente con objetivos estratégicos a largo plazo, incluido el mantenimiento de acceso persistente, la exfiltración de datos y la vigilancia de redes.

  • Atribución: Vinculado a operaciones de ciberespionaje relacionadas con China, probablemente en apoyo del Ministerio de Seguridad del Estado (MSS).
  • Motivación: Espionaje y acceso a largo plazo a sistemas y datos sensibles.
  • Enfoque operativo: Explotación Zero-day , implantaciones sigilosas de malware y persistencia en infraestructuras periféricas.

Países destinatarios del UNC5221

La victimología de UNC5221 abarca varias regiones:

  • Norteamérica: Incluido Estados Unidos, con objetivos en agencias federales e infraestructuras.
  • Europa: Especialmente el Reino Unido y los organismos gubernamentales aliados.
  • Oriente Medio y Asia-Pacífico: incluida Arabia Saudí y otros sectores regionales de la energía y la Administración.

Industrias a las que se dirige UNC5221

UNC5221 se dirige principalmente a sectores alineados con las prioridades de la inteligencia geopolítica:

  • Infraestructuras críticas: Proveedores de energía, agua y gas natural.
  • Gobierno y Defensa: Ministerios, organismos reguladores y organizaciones afiliadas al ejército.
  • Tecnología y fabricación: Tecnología médica, aeroespacial y fabricación avanzada.
  • Instituciones financieras: Bancos y organismos reguladores.

Víctimas conocidas

Aunque las identidades de la mayoría de las víctimas no se hacen públicas, Mandiant informó de que UNC5221 comprometió a menos de diez organizaciones en todo el mundo a principios de 2024. Estas intrusiones eran muy selectivas, y los agresores solían personalizar los implantes para cada entorno víctima.

Método de ataque

Etapas del ataque

Una figura sombría tiende una amplia red sobre un paisaje digital repleto de diversos dispositivos, como ordenadores, teléfonos inteligentes y tabletas. La red simboliza los intentos del atacante de encontrar vulnerabilidades o utilizar técnicas de phishing para obtener acceso no autorizado.

Explota vulnerabilidades zero-day y de día n en dispositivos VPN (por ejemplo, Ivanti, Citrix).

Una escalera digital que se extiende hacia arriba desde un icono de usuario básico hacia una corona que simboliza privilegios administrativos. Esto representa los esfuerzos del atacante para obtener acceso de nivel superior dentro del sistema.

Instala malware dropper personalizado con acceso a nivel de sistema.

Un camaleón que se funde con un fondo digital, con ceros y unos fluyendo a su alrededor. Representa la capacidad del atacante para evitar ser detectado por las medidas de seguridad, cambiando de táctica para mezclarse con el tráfico normal de la red.

Utiliza cargas útiles en memoria, manipulación de registros y binarios troyanizados para eludir la detección EDR y SIEM.

Un ladrón con una ganzúa trabajando en un ojo de cerradura gigante con forma de formulario de inicio de sesión, que representa los esfuerzos del atacante por robar credenciales de usuario para obtener acceso no autorizado.

Despliega keyloggers y ladrones de credenciales incrustados en las páginas de inicio de sesión de los dispositivos.

Una lupa moviéndose sobre un mapa digital de una red, resaltando archivos, carpetas y conexiones de red. Esta imagen representa la fase en la que los atacantes exploran el entorno para comprender la estructura y dónde residen los datos valiosos.

Ejecuta herramientas de enumeración y scripts personalizados para cartografiar la topología de la red interna.

Una serie de nodos interconectados con una figura sombría moviéndose sigilosamente entre ellos. Esto ilustra los movimientos del atacante dentro de la red, buscando obtener el control de sistemas adicionales o propagarse malware.

Aprovecha credenciales robadas y puertas traseras SSH para moverse a través de segmentos de red.

Una gran aspiradora aspira archivos, iconos de datos y carpetas en una bolsa sostenida por una figura sombría. Esta imagen simboliza el proceso de recopilación de datos valiosos de la red objetivo.

Supervisa el tráfico y extrae documentos o credenciales confidenciales.

Una ventana de símbolo del sistema abierta delante de un fondo digital, con código malicioso siendo tecleado. Esto representa la fase en la que los atacantes ejecutan su carga maliciosa en el sistema comprometido.

Utiliza scripts Bash, utilidades Python y comandos BusyBox para la ejecución de la carga útil.

Una serie de archivos que se canalizan a través de un canal encubierto desde un ordenador a una dirección cloud etiquetada con una calavera, que simboliza la transferencia no autorizada de datos a un lugar controlado por el atacante.

Tuneliza datos a través de canales SSH cifrados o herramientas integradas.

Una pantalla agrietada con un paisaje urbano digital en caos detrás, que simboliza el impacto destructivo del ciberataque, como la interrupción del servicio, la destrucción de datos o las pérdidas financieras.

Centrados principalmente en el sigilo y la persistencia, no en la interrupción. El objetivo es el espionaje a largo plazo.

Una figura sombría tiende una amplia red sobre un paisaje digital repleto de diversos dispositivos, como ordenadores, teléfonos inteligentes y tabletas. La red simboliza los intentos del atacante de encontrar vulnerabilidades o utilizar técnicas de phishing para obtener acceso no autorizado.
Acceso inicial

Explota vulnerabilidades zero-day y de día n en dispositivos VPN (por ejemplo, Ivanti, Citrix).

Una escalera digital que se extiende hacia arriba desde un icono de usuario básico hacia una corona que simboliza privilegios administrativos. Esto representa los esfuerzos del atacante para obtener acceso de nivel superior dentro del sistema.
Escalada de privilegios

Instala malware dropper personalizado con acceso a nivel de sistema.

Un camaleón que se funde con un fondo digital, con ceros y unos fluyendo a su alrededor. Representa la capacidad del atacante para evitar ser detectado por las medidas de seguridad, cambiando de táctica para mezclarse con el tráfico normal de la red.
Defensa Evasión

Utiliza cargas útiles en memoria, manipulación de registros y binarios troyanizados para eludir la detección EDR y SIEM.

Un ladrón con una ganzúa trabajando en un ojo de cerradura gigante con forma de formulario de inicio de sesión, que representa los esfuerzos del atacante por robar credenciales de usuario para obtener acceso no autorizado.
Acceso con credenciales

Despliega keyloggers y ladrones de credenciales incrustados en las páginas de inicio de sesión de los dispositivos.

Una lupa moviéndose sobre un mapa digital de una red, resaltando archivos, carpetas y conexiones de red. Esta imagen representa la fase en la que los atacantes exploran el entorno para comprender la estructura y dónde residen los datos valiosos.
Descubrimiento

Ejecuta herramientas de enumeración y scripts personalizados para cartografiar la topología de la red interna.

Una serie de nodos interconectados con una figura sombría moviéndose sigilosamente entre ellos. Esto ilustra los movimientos del atacante dentro de la red, buscando obtener el control de sistemas adicionales o propagarse malware.
Movimiento lateral

Aprovecha credenciales robadas y puertas traseras SSH para moverse a través de segmentos de red.

Una gran aspiradora aspira archivos, iconos de datos y carpetas en una bolsa sostenida por una figura sombría. Esta imagen simboliza el proceso de recopilación de datos valiosos de la red objetivo.
Colección

Supervisa el tráfico y extrae documentos o credenciales confidenciales.

Una ventana de símbolo del sistema abierta delante de un fondo digital, con código malicioso siendo tecleado. Esto representa la fase en la que los atacantes ejecutan su carga maliciosa en el sistema comprometido.
Ejecución

Utiliza scripts Bash, utilidades Python y comandos BusyBox para la ejecución de la carga útil.

Una serie de archivos que se canalizan a través de un canal encubierto desde un ordenador a una dirección cloud etiquetada con una calavera, que simboliza la transferencia no autorizada de datos a un lugar controlado por el atacante.
Exfiltración

Tuneliza datos a través de canales SSH cifrados o herramientas integradas.

Una pantalla agrietada con un paisaje urbano digital en caos detrás, que simboliza el impacto destructivo del ciberataque, como la interrupción del servicio, la destrucción de datos o las pérdidas financieras.
Impacto

Centrados principalmente en el sigilo y la persistencia, no en la interrupción. El objetivo es el espionaje a largo plazo.

MITRE ATT&CK Cartografía

TTPs utilizados por UNC5221

TA0001: Initial Access
T1190
Exploit Public-Facing Application
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1505
Server Software Component
TA0004: Privilege Escalation
T1068
Exploitation for Privilege Escalation
TA0005: Defense Evasion
T1036
Masquerading
T1070
Indicator Removal
TA0006: Credential Access
T1056
Input Capture
TA0007: Discovery
T1083
File and Directory Discovery
T1018
Remote System Discovery
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
T1039
Data from Network Shared Drive
T1005
Data from Local System
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1048
Exfiltration Over Alternative Protocol
TA0040: Impact
No items found.

Preguntas frecuentes