Un grupo de ciberespionaje vinculado a China ha llevado a cabo una campaña contra proveedores de telecomunicaciones en Sudamérica, utilizando herramientas diseñadas para comprometer sistemas Windows, Linux y dispositivos de borde. La operación, atribuida al grupo UAT-9244, pone de relieve el creciente interés por las infraestructuras críticas de la región y el uso de malware especializado para mantener acceso persistente en redes complejas.
Según investigadores de Cisco Talos, la actividad del grupo se remonta al menos a 2024 y presenta vínculos operativos con el clúster de amenazas FamousSparrow, también asociado a intereses chinos. Los analistas identificaron el uso de tres implantes principales: TernDoor, PeerTime y BruteEntry, cada uno diseñado para operar en distintos componentes de la infraestructura tecnológica de los proveedores de telecomunicaciones.
La operación se caracteriza por una estrategia de compromiso multinivel. El malware TernDoor se emplea para comprometer sistemas Windows, mientras que PeerTime se dirige a servidores Linux dentro de la red corporativa. Por su parte, BruteEntry actúa como herramienta de exploración y explotación en dispositivos de borde, como routers o firewalls, permitiendo detectar debilidades y facilitar el acceso inicial a la red objetivo.
Una vez dentro, los atacantes utilizan estas herramientas para mantener persistencia, ejecutar comandos remotos y moverse lateralmente entre distintos sistemas, lo que les permite ampliar progresivamente su control dentro del entorno comprometido. Los investigadores destacan que la campaña no muestra características de ransomware o sabotaje directo, sino que está orientada principalmente a espionaje y recopilación prolongada de inteligencia.
El interés en el sector de telecomunicaciones no es casual. Estas organizaciones gestionan grandes volúmenes de datos y servicios esenciales de comunicaciones, por lo que una intrusión puede derivar en filtración de información sensible, espionaje industrial o interrupciones en infraestructuras críticas. Además, el uso de malware multiplataforma incrementa la complejidad de detección y respuesta ante incidentes.
Aspectos más relevantes
-
Campaña de ciberespionaje atribuida al grupo UAT-9244, vinculado a intereses chinos.
-
Ataques dirigidos a proveedores de telecomunicaciones en Sudamérica, considerados infraestructuras críticas.
-
Uso de malware especializado para distintos sistemas: TernDoor (Windows), PeerTime (Linux) y BruteEntry (dispositivos de red).
-
Operación activa desde al menos 2024, orientada a mantener acceso prolongado dentro de las redes comprometidas.
-
Objetivo principal: espionaje y recopilación de información, mediante persistencia y movimiento lateral dentro de la infraestructura.
Para mitigar el riesgo, se recomienda reforzar las defensas perimetrales, aplicar segmentación de red y restringir servicios innecesarios en dispositivos críticos. También resulta fundamental mantener los sistemas actualizados y correctamente parchados, así como desplegar soluciones de monitorización y detección de intrusiones (EDR/XDR) capaces de identificar actividad anómala.
La campaña atribuida a UAT-9244 demuestra el nivel de sofisticación y persistencia que pueden alcanzar los grupos patrocinados por estados. Frente a este escenario, las organizaciones que operan infraestructuras críticas deberán apostar por estrategias de defensa en profundidad y vigilancia continua para reducir el impacto de intrusiones avanzadas.
Más información
- UAT-9244 targets South American telecommunication providers with three new malware implants
https://blog.talosintelligence.com/uat-9244/ - China-linked UAT-9244 used TernDoor, PeerTime, and BruteEntry in South American telecom attacks
https://cyberwarzone.com/2026/03/16/china-linked-uat-9244-used-terndoor-peertime-and-bruteentry-in-south-american-telecom-attacks/
La entrada UAT-9244: ciberespionaje chino apunta a telecomunicaciones en Sudamérica con backdoors multiplataforma se publicó primero en Una Al Día.
☞ El artículo completo original de SOC lo puedes ver aquí