Ink Dragon expande su red de espionaje y convierte a las víctimas en infraestructura de ataque
Un informe de Check Point Research revela cómo Ink Dragon, un actor de amenazas vinculado a China, amplía su alcance global mediante campañas sigilosas, reutilizando servidores comprometidos para sostener operaciones de espionaje a largo plazo.
Ink Dragon es un grupo de ciberespionaje de larga trayectoria cuya actividad se ha intensificado en los últimos años. Lo que comenzó con operaciones focalizadas en el Sudeste Asiático y Sudamérica evolucionó hacia una creciente cantidad de intrusiones en redes gubernamentales europeas, evidenciando una expansión sostenida y metódica.
Según Check Point Research, esta evolución se detectó a partir de campañas discretas que, en una primera instancia, parecían incidentes menores. Sin embargo, un análisis profundo permitió identificar un patrón claro de escalada sigilosa, donde el grupo combina herramientas avanzadas con técnicas que imitan la actividad administrativa habitual para permanecer oculto durante largos períodos.
Una investigación reciente en una oficina gubernamental europea expuso este modus operandi en detalle. Allí se observó cómo Ink Dragon no solo comprometía servidores, sino que los transformaba en puntos de retransmisión, mapeando comportamientos administrativos, explotando sesiones inactivas y preparando la red para un uso prolongado, apoyado en una versión evolucionada de FinalDraft.
El ataque suele comenzar con la explotación de vulnerabilidades en servidores web públicos, especialmente configuraciones deficientes en Microsoft IIS y SharePoint. Este acceso inicial, de baja visibilidad, permite a los atacantes instalarse rápidamente y preparar el terreno para avanzar dentro del entorno comprometido.
Una vez dentro de la red, Ink Dragon se mueve lateralmente de forma silenciosa, reutilizando credenciales, identificando sesiones administrativas activas y aprovechando cuentas de servicio compartidas. El uso de Escritorio remoto y otras herramientas legítimas reduce el ruido y dificulta la detección por parte de los defensores.
El punto de inflexión llega cuando el grupo obtiene credenciales con privilegios de dominio. A partir de allí, puede controlar políticas, desplegar puertas traseras persistentes, instalar implantes en sistemas críticos y crear nuevas rutas de acceso remoto que no dependen del punto de entrada original.
Uno de los rasgos más distintivos de Ink Dragon es la conversión de las víctimas en infraestructura. Mediante módulos personalizados basados en IIS, los servidores comprometidos actúan como nodos de retransmisión, ocultando el origen real del tráfico y fortaleciendo una red de comando y control distribuida a nivel global.
El informe también detectó una superposición con el grupo RudePanda, que explotó la misma vulnerabilidad en algunas redes, sin que exista cooperación entre ambos. Este escenario refuerza una advertencia clave para la ciberseguridad: una sola falla sin parchear puede abrir la puerta a múltiples actores avanzados, y las intrusiones deben analizarse como parte de una cadena completa, no como incidentes aislados.
Leer más
Conectividad en la era de la IA: el nuevo cuello de botella (y oportunidad) para América Latina
La brecha oculta de seguridad en los centros de datos: hacia una custodia continua y auditable
Smartwatch vs. anillo inteligente: cuál conviene para monitorear la salud y el bienestar
