92 es la mitad de 99

Cuando el software de la impresora se convierte en un arma: El grupo chino de hackers UNC6384 ataca a diplomáticos europeos

Imagínese recibir un correo electrónico con el orden del día de una importante reunión de la UE. Extraño para las personas "normales", negocios normales del día a día para los eurodiputados, políticos o diplomáticos. Suena inofensivo al principio, ¿no?

Es precisamente esta aparente normalidad la que explotan los hackers para invadir los sistemas de las instituciones diplomáticas. Arctic Wolf Labs ha revelado una campaña bastante sofisticada, Muestra lo creativo y peligroso que se ha vuelto el ciberespionaje moderno.

¿Quién está detrás de esto?

Los ataques van a la cuenta de UNC6384, Un grupo de hackers chinos que se especializa en espionaje. Estas personas no son niños guionistas, son profesionales que presumiblemente trabajan en nombre del Gobierno chino. ¿Tu objetivo? Diplomáticos europeos, especialmente en Hungría, Bélgica, Serbia, Italia y los Países Bajos.

Lo que hace especial a este grupo: Tienen estrechos vínculos con otro grupo notorio llamado «Mustang Panda». Ambos comparten herramientas, enfoques y objetivos similares, como una especie de familia oscura en el cibersubterráneo.

¿Cómo funciona el ataque? Una mirada detrás de las escenas

Ahora se está volviendo técnico, pero no te preocupes, te lo explico paso a paso para que entiendas:

Etapa 1: El correo electrónico del cebo

Todo comienza con un correo electrónico engañosamente real. Los hackers pusieron mucho esfuerzo: Utilizan temas como la «Agenda para las reuniones de la UE en Bruselas el 26 de septiembre» o el «Taller de contratación pública de armamentos de la OTAN». ¡Estos son eventos reales que realmente han tenido lugar! Los correos electrónicos contienen un enlace o archivo adjunto que se parece a un PDF normal.

Etapa 2: La vulnerabilidad de Windows

Aquí está la parte inteligente: Los hackers están utilizando un Vulnerabilidad de seguridad de Windows ZDI-CAN-25373, que no se hizo público hasta marzo de 2025. Esta vulnerabilidad afecta a los archivos LNK (estos son los pequeños iconos de acceso directo en su escritorio).

Lo ingenioso de esto: Puede ocultar comandos invisibles en estos archivos «llenándolos» con espacios. Para usted, el archivo se parece a Agenda_Meeting 26 Sep Brussels.lnk, pero si hace clic en él, sucede mucho más en segundo plano.

Etapa 3: El truco de la impresora (DLL Side-Loading)

Ahora es muy refinado. El archivo LNK descarga por primera vez un programa real y legítimo: Uno Software de impresoras Canon se llama cnmpaui.exe. ¡Este software incluso está firmado digitalmente, por lo que Canon lo confirma como confiable!

Pero aquí está el truco: Junto con el software real viene un archivo manipulado llamado cnmpaui.dll. Cuando Windows inicia el programa Canon, busca este archivo DLL (esto es una especie de utilidad). Windows primero encuentra la versión manipulada en la misma carpeta y la carga sin quejarse.

Piense en ello como un guardaespaldas (el verdadero software de Canon) que sin saberlo trae a un ladrón (el DLL malo) al edificio porque lleva el uniforme adecuado.

Etapa 4: El malware cifrado

La DLL manipulada solo tiene un trabajo: Abre un tercer archivo llamado cnmplog.dat. Este archivo parece basura a primera vista, pero está cifrado con una clave RC4. La DLL los descifra y tada! sale el malware real: PlugX.

¿Qué es PlugX y por qué es tan peligroso?

PlugX es como un espía digital que vive permanentemente en su sistema. Este malware ha existido desde 2008 y continúa evolucionando. PlugX puede:

  • Grabar cada pulsación de tecla (keylogging)
  • Subir y descargar archivos
  • Ejecutar comandos de forma remota
  • Autointegración en el sistema para que sobreviva incluso después de reiniciar
  • Recopila información sobre tu sistema

La fisura: PlugX ejecuta «en memoria» el software legítimo de Canon. La mayoría de los escáneres de virus solo miran archivos ejecutables (.exe), pero aquí el malware se oculta casi invisiblemente en un programa de confianza.

El camuflaje: El engaño perfecto

Mientras todo esto sucede en segundo plano, la computadora le mostrará un documento PDF real, como la agenda real de la reunión de la UE. Crees que todo es normal mientras los hackers están abriendo la puerta trasera.

El malware se instala cómodamente:

  • Se copia en carpetas ocultas como «SamsungDriver», «IntelNet» o «DellSetupFiles» (suena inofensivo, ¿verdad?)
  • Está inscrito en el registro de Windows con el nombre «CanonPrinter», de modo que se carga automáticamente cada vez que se inicia.
  • El nombre de la carpeta cambia regularmente para confundir el software de seguridad

El centro de comando

Una vez instalado, PlugX contacta a sus jefes a través de conexiones HTTPS cifradas (parece tráfico web cifrado normal). Los hackers utilizan dominios como:

  • racineupci[.]org
  • dorareco[.]net
  • naturadeco[.]net

Estas direcciones son especialmente elegidas para que suenen inofensivas. La comunicación se ejecuta a través del puerto 443 (por defecto para los sitios web cifrados), y se hacen pasar por un navegador normal (Internet Explorer 9, si alguien está interesado).

Desarrollo en tiempo real

Particularmente inquietante: Los hackers están desarrollando activamente sus herramientas. Entre septiembre y octubre de 2025, redujeron su «CanonStager» (la parte que carga el malware) de unos 700 KB a solo 4 KB.

Esto es como reducir una caja de herramientas de robo del tamaño de una bolsa de viaje a una caja; Más pequeño, menos notable, pero igual de efectivo.

¿Por qué diplomáticos?

La pregunta es, por supuesto: ¿Por qué todo esto? Bueno, los diplomáticos tienen acceso a información altamente sensible:

  • Posiciones de negociación en el caso de acuerdos internacionales
  • Cooperación de la UE en materia de defensa y los planes de la OTAN
  • Decisiones de política económica, que podría afectar a los intereses de China
  • Relaciones entre los países de la UE, ¿Dónde están las tensiones, dónde está la unidad?

Si China sabe lo que Europa está planeando, tiene una enorme ventaja en las negociaciones, los acuerdos comerciales o los movimientos geopolíticos.

Los temas de los correos electrónicos de cebo no se eligen por casualidad:

  • Manejo de fronteras entre la UE y los Balcanes Occidentales – importante para las rutas comerciales
  • Adquisición de Armamento de la OTAN – Capacidades militares europeas
  • Comunidad política europea – ¿Cómo se coordina Europa?

¿Qué hace que esta campaña sea especial?

  1. Ajuste rápido: La vulnerabilidad de Windows se lanzó en marzo de 2025 y ya fue utilizada por UNC6384 en septiembre. ¡Sólo seis meses! Esto muestra la rapidez con la que estos grupos pueden explotar nuevas vulnerabilidades.
  2. Ingeniería social perfecta: Los hackers utilizan eventos reales con datos, ubicaciones y temas correctos. Obviamente tienen acceso a calendarios diplomáticos o hacen una investigación muy exhaustiva.
  3. Estrategia multipista: Además de esta campaña de correo electrónico, UNC6384 también opera otros métodos de ataque, como el secuestro de portales Wi-Fi (conocidos como «páginas de inicio de sesión» en hoteles o aeropuertos).
  4. Expansión a Europa: Anteriormente, UNC6384 se centró en el sudeste asiático. Ahora se han dirigido a Europa, lo que muestra una misión ampliada o equipos adicionales.

¿Qué se puede hacer al respecto?

Para las organizaciones:

  • Bloquea archivos LNK de fuentes sospechosas. Dado que no hay un parche oficial de Microsoft para esta vulnerabilidad, debe ser creativo.
  • Bloquea los servidores de comando conocidos en sus firewalls
  • Busca software para impresoras Canon en lugares inusuales – esto normalmente no pertenece al directorio temporal de usuarios.
  • Capacite a sus empleados Reconocer los correos electrónicos de phishing

Para usuarios normales:

  • Ser Escéptico sobre los archivos adjuntos de correo electrónico, Incluso si se ven profesionales
  • Cuidado Extensiones de archivos: Un «Agenda.pdf» no debe llamarse súbitamente «Agenda.pdf.lnk»
  • En caso de duda, pregúntele al remitente, pero no respondiendo al correo electrónico sospechoso, sino a través de otro canal (teléfono, chat separado)
  • Mantenga su sistema actualizado (incluso si aún no hay un parche, las actualizaciones ayudan contra muchos otros ataques)

El panorama general

Esta campaña es un excelente ejemplo de ciberespionaje moderno a nivel estatal:

  • pacientemente: Los hackers se toman el tiempo para seleccionar a sus víctimas y crear cebos a medida
  • Profesional: Ataques de múltiples capas con cifrado, mecanismos de camuflaje y trucos antianálisis
  • Dirigido: No hay ataques indiscriminados, sino una selección precisa de objetivos de alta calidad
  • Persistente: Una vez dentro, pasan desapercibidos y recopilan datos durante meses o años.

Esto no es un delito cibernético en el sentido clásico (sin ransomware, sin tarjetas de crédito robadas) esto es Espionaje estratégico en la era digital. Y funciona terriblemente bien.

conclusión

La campaña UNC6384 demuestra de manera impresionante lo sofisticados que son los ciberataques modernos. Desde la manipulación psicológica (ingeniería social) hasta la sofisticación técnica (secuestro de DLL, cifrado) y la seguridad operativa (cambio de carpetas, software legítimo como camuflaje) -> aquí es donde trabajan los verdaderos profesionales.

Para las instituciones diplomáticas europeas, se trata de una llamada de atención: La seguridad digital es tan importante como la seguridad física. Un sistema comprometido puede hacer tanto daño como un espía infiltrado, solo que más rápido y más difícil de detectar.

¿Las buenas noticias? A través de la atención y las medidas de seguridad adecuadas, muchos de estos ataques pueden prevenirse o al menos detectarse en una etapa temprana. ¿Las malas noticias? Los atacantes no duermen y se vuelven cada vez más creativos.

¡Manténganse vigilantes ahí fuera!

Stephan
| | | |
a la cima | página de inicio | para buscar