Google y Mandiant interrumpieron una importante campaña de ciberespionaje china en febrero de 2026 que había comprometido a 53 víctimas en 42 países desde 2017, dirigida principalmente a proveedores de telecomunicaciones y organizaciones gubernamentales. La operación, denominada GRIDTIDE, empleó una novedosa puerta trasera que secuestró Google Sheets para comunicarse clandestinamente con los hackers, permitiendo que el presunto grupo vinculado a China UNC2814 mezclara la actividad maliciosa con el tráfico legítimo de la nube mientras robaba datos sensibles, incluida información personal y registros de comunicaciones.
El desmantelamiento representa una de las interrupciones más significativas del ciberespionaje chino en los últimos años, según un informe detallado del Grupo de Inteligencia de Amenazas de Google y Mandiant. La respuesta coordinada implicó cerrar los Proyectos de Google Cloud de los atacantes, deshabilitar su infraestructura y revocar el acceso a la API de Google Sheets que sirvió como columna vertebral de la operación.
Durante la investigación, los expertos de seguridad descubrieron que la puerta trasera había accedido a sistemas que contenían extensa información de identificación personal, incluyendo nombres completos, números de teléfono, fechas de nacimiento y documentos nacionales de identidad. Google indicó que este nivel de acceso permitiría a los atacantes monitorizar las comunicaciones y vigilar a disidentes, activistas y otros objetivos de interés.
El enfoque de la campaña en empresas de telecomunicaciones se alinea con los esfuerzos históricos de espionaje chino destinados a robar registros de datos de llamadas y mensajes SMS con fines de vigilancia, según el informe. Más allá de las 42 intrusiones confirmadas, los investigadores identificaron otras 20 naciones sospechosas de haber sido infectadas.
Innovación técnica y evasión
La puerta trasera GRIDTIDE representó una evolución sofisticada en las técnicas de ciberespionaje. El malware se comunicaba con sus operadores sondeando celdas específicas dentro de Google Sheets, haciendo que el tráfico malicioso pareciera un uso legítimo de los servicios en la nube. La Celda A1 recibía órdenes, la Celda V1 almacenaba las huellas de las máquinas víctimas y celdas adicionales gestionaban transferencias de datos más grandes en fragmentos de 45 kilobytes, según el análisis técnico de Google.
Todos los datos transmitidos estaban codificados usando una variante de Base64 segura para URL con el fin de evadir los filtros web y los sistemas de detección. Los atacantes también aprovecharon Google Drive para almacenar configuraciones de malware e implementaron SoftEther VPN Bridge para crear conexiones cifradas que ocultaban aún más sus actividades.
Una vez dentro de las redes, UNC2814 se desplazó lateralmente mediante SSH utilizando cuentas de servicio y estableció persistencia creando servicios systemd que iniciarían automáticamente el malware al arrancar el sistema, según revelaron los investigadores.
Google y Mandiant han proporcionado estrategias de detección específicas para las organizaciones, que incluyen monitorizar procesos ajenos al navegador que realicen solicitudes HTTPS a Google Sheets e identificar ejecutables que se inicien desde directorios inusuales. La interrupción pone de manifiesto cómo los servicios legítimos en la nube están siendo instrumentalizados cada vez más para el espionaje, desafiando los enfoques de seguridad tradicionales que confían por defecto en las principales plataformas.
Sources
- Google Cloud
