El Departamento de Justicia confirma la operación del FBI que eliminó de forma masiva malware chino de miles de computadoras en EE. UU.

Las autoridades estadounidenses han logrado interrumpir las actividades de un grupo de hackers respaldado por el estado chino, que había infiltrado millones de ordenadores en todo el mundo para robar información como parte de una campaña de espionaje que se extendió durante varios años. El Departamento de Justicia y el FBI anunciaron que durante una operación autorizada por un tribunal en agosto de 2024, se eliminó exitosamente el malware implantado por el grupo de hackers, conocido como “Twill Typhoon” o “Mustang Panda”, de miles de sistemas infectados en Estados Unidos.

La operación fue liderada por las autoridades francesas, con el apoyo de la empresa de ciberseguridad Sekoia, con sede en París. Los fiscales franceses informaron el año pasado que el malware, denominado “PlugX”, había infectado a varios millones de computadoras a nivel global, incluyendo 3,000 dispositivos en Francia. Sekoia, en una entrada de blog, comentó que desarrolló la capacidad para enviar comandos a los dispositivos infectados con el fin de eliminar el malware PlugX.

Los responsables estadounidenses señalaron que esta operación se llevó a cabo para eliminar el malware de más de 4,200 computadoras infectadas en el país. En registros judiciales presentados en una corte federal en Pennsylvania, el FBI indicó que había observado la presencia del malware, que generalmente se instala a través del puerto USB de un ordenador, desde al menos 2012 y que ha sido utilizado por hackers respaldados por el estado chino desde 2014. Una vez instalado, el malware se encarga de “recopilar y preparar los archivos del ordenador de la víctima para su exfiltración”, dijo el FBI. Las autoridades francesas confirmaron que el malware PlugX se utiliza especialmente para fines de espionaje.

En el comunicado emitido, el Departamento de Justicia de EE. UU. acusó al gobierno chino de financiar al grupo Twill Typhoon para el desarrollo del malware PlugX. Aunque no se han nombrado víctimas específicas de esta campaña de hacking, el FBI aseguró que Twill Typhoon había infiltrado sistemas de “numerosas” organizaciones tanto gubernamentales como privadas, incluyendo entidades en Estados Unidos. Entre los objetivos significativos se anotan compañías de transporte marítimo en Europa, varios gobiernos europeos, grupos disidentes chinos y diversas administraciones en la región del Indo-Pacífico.

Twill Typhoon se añade a la lista creciente de grupos de hackers respaldados por el estado chino que operan bajo nombres que incluyen “Typhoon”. Esta lista destaca a Volt Typhoon, un grupo encargado de preparar ataques cibernéticos destructivos, y Salt Typhoon, que ha llevado a cabo una serie de hackeos masivos en compañías de telefonía e internet de EE. UU. Según Microsoft, que desarrolló el sistema de denominación de estos grupos, Twill Typhoon (anteriormente conocido como “Tantalum”) ha tenido éxito en comprometer máquinas gubernamentales en África y Europa, así como organizaciones humanitarias en todo el mundo.

Este evento se suma a una extensa serie de operaciones autorizadas por un tribunal llevadas a cabo por las autoridades estadounidenses en los últimos años para contrarrestar la creciente amenaza de adversarios extranjeros que atacan dispositivos estadounidenses. Durante 2024, el FBI realizó varias operaciones relacionadas con la eliminación de malware y el control de botnets maliciosas, con el objetivo de interrumpir campañas respaldadas por China que están dirigidas a la infraestructura crítica de EE. UU. Los funcionarios de seguridad nacional de EE. UU. han descrito con anterioridad las capacidades ofensivas cibernéticas del gobierno chino como una “amenaza que define una época”.