Las agencias de inteligencia digital y empresas de seguridad informática han detectado una campaña de espionaje cibernético especialmente sofisticada dirigida contra organismos gubernamentales y entidades públicas en varios continentes. El actor responsable ha sido identificado como Silver Dragon, un grupo que mantiene conexiones con el ecosistema de ciberoperaciones vinculado a China y cuya actividad se ha intensificado desde 2024.
Los análisis técnicos muestran que Silver Dragon centra sus ataques en la obtención silenciosa de información estratégica. A diferencia de bandas de ciberdelincuencia dedicadas al fraude o al ransomware, esta operación se orienta principalmente al espionaje institucional y a la recopilación de datos sensibles en organismos estatales.
Los objetivos más frecuentes incluyen ministerios, departamentos administrativos y empresas del sector público, especialmente en países del sudeste asiático y en diversas administraciones europeas. Las campañas observadas revelan una planificación meticulosa y un enfoque diseñado para mantener acceso prolongado a las redes comprometidas.
Técnicas avanzadas para infiltrarse en sistemas gubernamentales
Los investigadores descubrieron que Silver Dragon emplea técnicas que permiten operar dentro de los sistemas infectados durante largos periodos sin levantar sospechas. Una de las estrategias más destacadas consiste en manipular servicios legítimos del sistema operativo Windows para ocultar procesos maliciosos.
En lugar de instalar componentes claramente identificables como malware, los atacantes detienen servicios legítimos del sistema y los recrean con modificaciones que permiten ejecutar su propio código. Entre los servicios manipulados aparecen procesos relacionados con Windows Update, utilidades de Bluetooth y componentes del entorno .NET Framework.
Este enfoque permite que las actividades maliciosas se ejecuten bajo nombres y procesos que el sistema reconoce como legítimos. En redes corporativas complejas, donde miles de procesos se ejecutan simultáneamente, este camuflaje dificulta enormemente la detección de anomalías.
Según los analistas, esta técnica representa una evolución significativa en las tácticas de intrusión, ya que evita muchos de los mecanismos tradicionales de detección basados en firmas de malware o comportamientos sospechosos.
GearDoor y el uso estratégico de servicios en la nube
El elemento central de la infraestructura de ataque es un software malicioso personalizado conocido como GearDoor. Este programa actúa como puerta trasera dentro de los sistemas comprometidos y permite a los atacantes enviar órdenes remotas, recopilar información y mantener acceso persistente.
Una de las características más llamativas de GearDoor es el uso de Google Drive como canal de comunicación con los servidores de control. En lugar de establecer conexiones con infraestructuras sospechosas, los sistemas infectados intercambian archivos con cuentas específicas alojadas en la plataforma de almacenamiento en la nube.
Este método permite que el tráfico generado por el malware se mezcle con el uso cotidiano de servicios cloud dentro de las organizaciones. Dado que Google Drive es una herramienta ampliamente utilizada en entornos corporativos, las comunicaciones maliciosas pasan desapercibidas en muchos sistemas de monitorización.
Los investigadores identificaron además herramientas complementarias utilizadas por Silver Dragon para ampliar el alcance de sus intrusiones. Entre ellas destaca SilverScreen, un programa diseñado para capturar imágenes de las pantallas de los equipos comprometidos, lo que permite a los atacantes observar la actividad de los usuarios en tiempo real.
También se detectó el uso de una utilidad denominada SSHcmd, que facilita la ejecución remota de comandos dentro de los sistemas infiltrados. Esta herramienta permite a los operadores del grupo moverse lateralmente dentro de las redes corporativas y acceder a servidores adicionales.
Métodos de acceso inicial y expansión dentro de las redes
La entrada inicial en las redes objetivo suele producirse mediante una combinación de técnicas. Los investigadores han observado que Silver Dragon explota servidores expuestos a internet que presentan vulnerabilidades sin corregir.
Paralelamente, el grupo desarrolla campañas de phishing altamente dirigidas. En estos correos electrónicos fraudulentos se suplantan comunicaciones oficiales de organismos gubernamentales o instituciones públicas con el objetivo de engañar a los empleados para que descarguen archivos infectados o introduzcan sus credenciales.
Una vez dentro de la red, los atacantes despliegan herramientas de postexplotación para consolidar su acceso. En varias cadenas de infección analizadas se detectó la utilización de Cobalt Strike, una plataforma que permite controlar sistemas comprometidos y simular tráfico legítimo mediante protocolos internos o consultas DNS.
Este tipo de herramientas es ampliamente utilizado en operaciones de espionaje digital porque permite a los intrusos mantener una presencia discreta dentro de los sistemas durante largos periodos.
Conexiones con el ecosistema de ciberespionaje chino
Tras analizar múltiples indicadores técnicos y patrones operativos, los especialistas concluyeron que Silver Dragon mantiene vínculos estrechos con el conocido grupo APT41. Esta atribución se basa en similitudes en el código utilizado, coincidencias en las técnicas de cifrado y solapamientos en el conjunto de herramientas empleadas.
Otro factor que refuerza esta conexión es la coincidencia temporal de las operaciones con el horario estándar de China, lo que sugiere que los operadores trabajan dentro de esa franja geográfica.
La investigación, realizada por Check Point Research, destaca que Silver Dragon forma parte de una estrategia más amplia de recopilación de inteligencia digital dirigida a organismos públicos y estructuras administrativas.
Este tipo de campañas de ciberespionaje no busca causar interrupciones inmediatas en los sistemas atacados. Su objetivo principal es acceder a información estratégica que pueda resultar útil en ámbitos diplomáticos, económicos o tecnológicos.
Riesgos crecientes de Silver Dragon para gobiernos y sector público
Las actividades atribuidas a Silver Dragon reflejan una tendencia creciente en el ámbito del espionaje digital global. Los ataques patrocinados por estados o vinculados a intereses gubernamentales se centran cada vez más en redes institucionales y organismos públicos.
Los expertos en ciberseguridad recomiendan reforzar los controles de seguridad en entornos Windows, especialmente en lo relacionado con la supervisión de servicios del sistema. Cambios inesperados en estos procesos pueden indicar intentos de manipulación por parte de actores maliciosos.
También se aconseja mejorar la protección de los servidores expuestos a internet mediante actualizaciones frecuentes y auditorías de seguridad. El fortalecimiento de los filtros de correo electrónico y la formación de los empleados frente a campañas de phishing son igualmente medidas clave para reducir el riesgo de intrusión.
