Por Mid 
Convierten ArcGIS legítimo en una puerta trasera persistente – Una Al Día
Tiempo estimado de lectura: 5 minutos
Dificultad técnica: Alta
Conclusiones clave
- Grupo Flax Typhoon utiliza ArcGIS para crear puertas traseras persistentes.
- Compromiso de cuentas de administrador y utilizan módulos de web shell para operaciones encubiertas.
- Incremento del riesgo en infraestructuras críticas, especialmente en Taiwan.
- La manipulación de software legítimo permite eludir detección de IOC.
- Es fundamental implementar la vigilancia proactiva y evaluación constante de software confiable.
Índice
Introducción
Recientemente, ciberdelincuentes del grupo chino Flax Typhoon han conseguido manipular componentes fiables de ArcGIS para garantizar un acceso oculto y duradero a sistemas empresariales clave. Este ataque meticulosamente diseñado pone de manifiesto la necesidad imperiosa de monitorizar el uso inusual de herramientas legítimas dentro de la red.
Detalles del ataque
Las alertas han sido emitidas para los equipos de seguridad después de que se descubriera que el grupo APT conocido como Flax Typhoon utilizó técnicas avanzadas para transformar un módulo legítimo de ArcGIS en una puerta trasera persistente. Este ataque se dirigió especialmente a infraestructuras críticas y organizaciones en Taiwan, lo que resalta el creciente riesgo asociado a cualquier aplicación pública que se encuentre expuesta.
Una vez que los atacantes lograron infiltrarse en el entorno de la víctima, comprometieron una cuenta de administrador de ArcGIS y desplegaron una extensión SOE Java personalizada que operaba como web shell. Este módulo malicioso se activaba a través de operaciones REST estándar e incorporaba un sistema de autenticación que utilizaba una clave dura, necesaria para ejecutar comandos en el servidor interno.
La estrategia del ataque incluía también la carga encubierta de SoftEther VPN, lo cual les permitía mantener la persistencia en el sistema. Posteriormente, realizaron movimientos laterales para atacar equipos internos de TI. Es importante destacar que la amenaza persistió incluso tras ejecutar remedios y restaurar el sistema, dado que los archivos maliciosos permanecieron en las copias de seguridad automáticas.
Riesgos asociados
Al manipular componentes legítimos de ArcGIS, los atacantes consiguieron eludir la detección basada en indicadores de compromiso (IOC), lo que generó riesgos significativos como el acceso prolongado (“hands-on-keyboard”), la exfiltración de información sensible relacionada con infraestructuras críticas y la posibilidad de llevar a cabo nuevos ataques a través de movimientos laterales o escaladas de privilegios. Además de afectar a operaciones críticas, este vector podría convertirse en un trampolín hacia otras redes OT/IT interconectadas.
Recomendaciones de seguridad
Por lo tanto, es aconsejable no confiar exclusivamente en indicadores estáticos y avanzar hacia la búsqueda proactiva de amenazas en aplicaciones legítimas. Resulta fundamental revisar las extensiones personalizadas en ArcGIS, implementar capas adicionales de autenticación para portales públicos y someter a un examen exhaustivo cualquier proceso de restauración de copias de seguridad. La monitorización de operaciones inusuales y la actualización rigurosa de las guías de seguridad internas son pasos esenciales a seguir.
Conclusión
Este incidente sirve como un recordatorio claro de que el software legítimo puede transformarse en una amenaza interna cuando se enfrenta a ataques sofisticados. La vigilancia proactiva y la evaluación constante de software confiable y sus extensiones deben convertirse en prioridades clave para cualquier organización que gestione servicios críticos expuestos.