Google, junto con Mandiant y otros colaboradores, ha llevado a cabo una operación exitosa para neutralizar una campaña global de espionaje cibernético. El grupo detrás de esta actividad, denominado UNC2814, está presuntamente vinculado a China.
Desmantelamiento de la Infraestructura de UNC2814
El Google Threat Intelligence Group (GTIG) y Mandiant han trabajado en conjunto con socios de la industria para desmantelar la infraestructura utilizada por UNC2814. Según investigaciones, este grupo ha estado activo durante más de una década, empleando tácticas e infraestructura únicas para atacar a una variedad de objetivos.
El GTIG ha identificado 53 incidentes de intrusión atribuidos a UNC2814 en 42 países de todo el mundo, y ha detectado indicios de preparación de ataques y actividades de reconocimiento en más de 20 países adicionales.
GRIDTIDE: Un Nuevo Backdoor
A finales de 2025, Mandiant descubrió que UNC2814 estaba utilizando un nuevo backdoor llamado ‘GRIDTIDE’ para permanecer más tiempo en los sistemas comprometidos. El análisis del GTIG reveló que GRIDTIDE utiliza hojas de cálculo de Google Sheets como servidores de comando y control (C2), disfrazando el tráfico de ataque como tráfico de red normal. Esto no se debe a vulnerabilidades en Google Sheets, sino a un abuso de las funciones normales del servicio para evadir la detección.
Distinción de ‘Salt Typhoon’
A pesar de la reciente cobertura mediática sobre el grupo ‘Salt Typhoon’, que ha estado atacando compañías de telecomunicaciones e instituciones gubernamentales, el GTIG ha confirmado que no se ha encontrado ninguna conexión entre UNC2814 y Salt Typhoon. Consideran a UNC2814 un grupo independiente.
La operación de neutralización incluyó el cierre de todos los proyectos de Google Cloud controlados por los atacantes, bloqueando efectivamente el acceso continuo a entornos comprometidos por el nuevo backdoor GRIDTIDE, y la desactivación de toda la infraestructura conocida de UNC2814.
