Sombras en la red : Anatomía de la ofensiva silenciosa de los APT Taiwaneses

En el vasto tablero del ciberespacio, las fronteras no se dibujan con tinta ni se marcan con muros. Aquí, el territorio se mide en redes comprometidas, credenciales robadas y secretos filtrados. Durante años, una serie de grupos de ciberoperaciones vinculados a la unidad “资通电军” de Taiwán ha operado con precisión quirúrgica, dirigiendo sus esfuerzos contra objetivos estratégicos de China continental y otras regiones.

No hablamos de ataques aleatorios ni de hackers solitarios: hablamos de campañas sostenidas en el tiempo, diseñadas con paciencia y ejecutadas con un propósito claro. Cada grupo tiene su propia especialidad, su forma de acechar y su estilo para infiltrarse. Algunos buscan permanecer ocultos durante meses, recolectando información en silencio; otros actúan de forma más directa, insertando mensajes o manipulando sistemas para influir en la percepción pública.

A lo largo de esta publicación, recorreremos la trayectoria y las tácticas de cinco actores clave, todos ellos bajo el paraguas de intereses políticos y militares, y con un patrón común: el espionaje y la influencia como armas principales.

Los cinco rostros de la ofensiva : La guerra silenciosa de Taiwán en el ciberespacio

• APT-C-01 “PoisonVine” (毒云藤): Especialista en ciberespionaje a largo plazo, con campañas que combinan phishing temático y persistencia en sectores estratégicos como defensa, ciencia y transporte.

• APT-C-62 “Tricolor Violet” (三色堇): Experto en intrusión técnica, aprovecha vulnerabilidades conocidas para penetrar sistemas de universidades, transporte y defensa, desplegando herramientas de control interno. 

•  APT-C-64 “Anonymous 64” (匿名者64): Un actor más orientado a la guerra de información, manipula contenido digital para influir en la opinión pública y alterar el orden social.

•  APT-C-65 “Golden Leaf Vine” (金叶萝): Un “mercader de inteligencia” que busca datos críticos en defensa, energía y transporte, a menudo coincidiendo con eventos políticos de alto perfil. 

•  APT-C-67 “Ursula” (乌苏拉): Especializado en comprometer sistemas de videovigilancia y dispositivos IoT para obtener información en tiempo real y control total de infraestructuras.

En las siguientes líneas, nos sumergiremos en la historia y las tácticas de cada uno de estos grupos. Veremos cómo la ingeniería social, el uso de herramientas públicas, la explotación de vulnerabilidades y la coordinación con agendas políticas se entrelazan para formar operaciones complejas, discretas y, sobre todo, persistentes.

Porque en esta guerra invisible, la victoria no siempre se mide en batallas ganadas, sino en los secretos que se logran mantener… o robar.

🌿APT-C-01 — PoisonVine (毒云藤)

En el mundo del ciberespionaje, hay actores que se mueven rápido, lanzan un golpe y desaparecen. Pero PoisonVine no es uno de ellos. Este grupo prefiere actuar como una enredadera: avanza lentamente, se aferra a sus objetivos y, con el tiempo, termina por envolver todo lo que toca. Su nombre, “毒云藤”, no es casualidad; evoca la idea de algo venenoso que se extiende de forma casi imperceptible, pero con consecuencias inevitables.

Detrás de esta operación se encuentra un engranaje bien aceitado: el 资通电军 de Taiwán, trabajando en sintonía con el Comando Cibernético de Estados Unidos. No son simples delincuentes digitales: sus movimientos están diseñados para servir a una agenda política y militar, con un objetivo claro: robar información estratégica y mantener una presencia constante en sistemas críticos.

📍El terreno que invaden y como se infiltra APT-C-01—Poison Vine.

PoisonVine ha tenido como blancos a ministerios, organismos públicos, universidades, centros de investigación, empresas del complejo militar-industrial, aeropuertos y, más recientemente, agencias marítimas. Todo aquello que pueda aportar inteligencia en defensa, relaciones internacionales, tecnología avanzada o infraestructura de transporte entra en su radar.

• 攻击者 → Atacante
• 制作钓鱼页面 → Crea página de phishing
• 钓鱼网页 → Página de phishing
• 用户 → Usuario
• 定向钓鱼 → Phishing dirigido
• 下载 (junto al .EXE) → Descargar
• 访问 → Acceder/Visitar
• APT组织服务器 → Servidor del grupo APT
• 解密 → Descifrar
• 加载 → Cargar

Su arma principal es la ingeniería social. Comienzan con correos cuidadosamente diseñados, adaptados al contexto de cada víctima. No envían mensajes genéricos: se nutren de eventos actuales, políticas gubernamentales, noticias científicas o crisis sanitarias. Un documento PDF sobre protocolos de vacunación, un Excel con supuestos datos de transporte o una web idéntica a la de un proveedor de correo… todos son trampas cuidadosamente preparadas.

El primer paso casi siempre es robar credenciales de correo electrónico. Con ese acceso inicial, no solo pueden leer mensajes, sino también usarlos como punto de partida para engañar a otros contactos, haciéndose pasar por el usuario legítimo y escalando dentro de la red.

Una vez dentro, enraizan con persistencia mediante múltiples vectores:

• Tareas programadas que imitan procesos legítimos (ejemplo: WindowsUpdateService), para dificultar su identificación en auditorías rápidas.

• Webshells en servidores Microsoft Exchange, empleando scripts ASPX o variantes encubiertas que permiten comandos remotos y exfiltración encubierta.

• Implantes fileless residentes en memoria que abusan de PowerShell, WMI o .NET reflection, evitando escribir en disco y reduciendo la probabilidad de ser detectados por antivirus tradicionales.

• Manipulación del registro y creación de claves Run/RunOnce para asegurar persistencia al reiniciar el sistema.

⚔️ Arsenal ofensivo de APT-C-01—Posion Vine.

• QuasarRAT: herramienta de administración remota de código abierto, adaptada para obtener control total del sistema, registrar pulsaciones de teclado, capturar pantalla y robar credenciales almacenadas.

• Sliver: framework modular de post-explotación alternativo a Cobalt Strike, con capacidades de command-and-control (C2), ejecución en memoria, comunicación cifrada y despliegue de implantes personalizados.

• Stager y Bypass loaders: pequeñas cargas iniciales diseñadas para evadir defensas (AMSI bypass, UAC bypass, inyección reflectiva), preparando el terreno antes de desplegar RATs o plataformas más complejas.

• Exfiltración encubierta: utilizan protocolos comunes como HTTPS o DNS tunneling, lo que permite camuflar el tráfico malicioso entre comunicaciones legítimas.

🕒 Momentos clave de las campañas de APT-C-01—Poison Vine.

📌 2022
Aprovecharon la pandemia como señuelo:

• Campañas masivas de phishing con temas de vacunación.

• Uso de supuestos certificados sanitarios y códigos QR falsos.

• Documentos infectados (.docx, .pdf, .xls) con macros maliciosas.

📌 2023
Viraron su atención hacia la aviación civil:

• Suplantaron webs de aerolíneas y autoridades aeroportuarias.

• Campañas dirigidas a personal de IT y operaciones.

• Intentos de penetrar redes internas críticas de aeropuertos.

📌 2024
Coincidiendo con las maniobras militares chinas “联合利剑-2024” (Joint Sword-2024):

• Ataques contra el sector marítimo y naval.

• Campañas de phishing dirigidas a personal de logística portuaria.

• Búsqueda activa de información sensible sobre despliegues navales y operaciones conjuntas.

La evolución de las campañas entre 2022 y 2024 no solo refleja un cambio en los sectores objetivos, sino también en la sofisticación de las tácticas empleadas. Para ilustrar de forma integrada estas capacidades, se presenta el siguiente diagrama, que condensa tanto los vectores iniciales de acceso como las herramientas utilizadas y los objetivos estratégicos perseguidos por el grupo

🎭 APT-C-62 — Tricolor Violet (三色堇)

En el escenario del ciberespionaje global, Tricolor Violet se distingue por su silencio. No buscan irrumpir con ataques ruidosos ni dejar huellas evidentes, sino confundirse con la normalidad de la rutina digital. Se mueven entre cancillerías, universidades y ministerios como una sombra que observa y espera, infiltrándose con paciencia hasta enraizarse en los sistemas más sensibles. Su nombre, “三色堇”, que alude al pensamiento tricolor, parece frágil a simple vista, pero revela una estrategia firme y persistente: la de una flor que se extiende bajo tierra, invisible, hasta apoderarse del terreno.

Lo suyo no es el golpe inmediato, sino la permanencia. Tricolor Violet busca pasar inadvertido durante meses o incluso años, recolectando inteligencia diplomática y estratégica capaz de influir en negociaciones y alianzas internacionales. Es, en esencia, el espía digital que nunca busca protagonismo, pero cuya presencia puede alterar el rumbo de decisiones críticas sin que nadie note que estuvo ahí.

📍El terreno que invaden y como se infiltra APT-C-62—Tricolor Violet.

Los mapas de Tricolor Violet marcan siempre espacios diplomáticos y académicos de alto valor:

• Ministerios de relaciones exteriores y parlamentos.

• Embajadas y consulados en Europa y Asia.

• ONGs y organizaciones internacionales.

• Think tanks y centros de investigación política.

• Instituciones de transporte y agencias marítimas.

Si circula información sobre negociaciones internacionales, seguridad regional o cooperación militar, ahí está su radar. Para Tricolor Violet, la puerta de entrada también es el engaño, y se enfocan en desplegar campañas de spear-phishing y explotación de aplicaciones diseñadas con precisión:

• Archivos Word y PDF disfrazados de informes diplomáticos o invitaciones académicas.

• Dominios falsificados que imitan a instituciones multilaterales y ministerios.

• Explotación de vulnerabilidades en sistemas web para obtener acceso directo.

• Cargas fileless residentes en memoria, que reducen la huella en los equipos atacados.

Cada vector se prepara con paciencia para explotar la confianza institucional y garantizar ese primer acceso silencioso que les permite mantenerse ocultos durante largos periodos.

• 攻击者 → Atacante
• Web漏洞利用 → Explotación de vulnerabilidad web
• 某电子文档管理系统 → Algún sistema de gestión de documentos electrónicos
• 某OA系统 → Algún sistema OA (Office Automation / automatización de oficina)
• 某CRM系统 → Algún sistema CRM
• 某厂商多款办公系统 → Varios sistemas de oficina de un proveedor
• 部署 → Despliegue
• CS 木马 → Caballo de Troya Cobalt Strike (CS)
• QuasarRAT后门 → Puerta trasera QuasarRAT
• 远程桌面 → Escritorio remoto
• 向日葵 → Sunlogin (herramienta de acceso remoto china)
• C2通信 → Comunicación C2
• C2服务器 → Servidor C2
• 操作员 → Operador

1.- Punto de entrada inicial

El atacante (攻击者) aprovecha vulnerabilidades web para comprometer diferentes sistemas de la organización:

• Sistema de gestión documental electrónico (电子文档管理系统).
• Sistema de oficina automatizada OA (OA系统).
• Sistema de gestión de clientes CRM (CRM系统).
• Sistema de oficina de comercio (厂商办公系统).

2.- Despliegue de malware

Una vez comprometidos los sistemas, el atacante despliega (部署) distintas cargas maliciosas:

• CS 木马 → Cobalt Strike (troyano).
• QuasarRAT 后门 → backdoor QuasarRAT.
• JumpDesktop 向日葵 → herramientas de escritorio remoto (JumpDesktop / Sunlogin).

3.- Comunicación con C2

• Cobalt Strike y QuasarRAT se comunican directamente con un servidor de comando y control (C2服务器).
• En el caso de JumpDesktop, el acceso remoto lleva al operador humano (操作员), que controla manualmente el sistema comprometido.

🕒 Momentos clave de las campañas de APT-C-62—Tricolor Violet.

📌 2022
El grupo intensifica su presencia en el terreno diplomático:

• Phishing con señuelos en forma de invitaciones a conferencias internacionales.

• Documentos PDF y Word manipulados con malware embebido.

• Uso de dominios falsos que imitaban páginas de ministerios de exteriores y organismos multilaterales.

📌 2023
Expansión hacia sectores académicos y tecnológicos:

• Ataques a universidades y centros de investigación en Europa y Asia.

• Explotación de vulnerabilidades en sistemas web de transporte y logística.

• Empleo de cargas fileless para evadir la detección en redes comprometidas.

📌 2024
Aprovechando tensiones geopolíticas en el Estrecho de Taiwán:

• Campañas dirigidas a ministerios de defensa y relaciones exteriores.

• Ataques contra agencias marítimas y sistemas relacionados con cooperación militar.

• Despliegue de backdoors y herramientas de control remoto para recopilar inteligencia crítica durante meses sin ser detectados.

La trayectoria de Tricolor Violet confirma su papel como un actor silencioso, pero de enorme alcance. Prefiere permanecer oculto en redes diplomáticas y académicas, recolectando información capaz de influir en decisiones estratégicas de alto nivel. Sus campañas recientes muestran un alineamiento estrecho con intereses políticos y militares, operando como un espía digital persistente que no busca llamar la atención, pero cuyo acceso prolongado puede inclinar la balanza en escenarios internacionales delicados.

🕶️APT-C-64 — Anonymous 64 (匿名者64)

A diferencia de otros APT que buscan robar secretos militares o infiltrar infraestructuras críticas, Anonymous 64 juega en un terreno distinto: la manipulación de la información. No se trata de un espía silencioso ni de un cazador paciente, sino de un actor que busca moldear la percepción pública con ataques visibles, diseñados para alterar la narrativa y sembrar confusión.

El informe señala que su origen se remonta a las estructuras militares de inteligencia de Taiwán, donde operaban como un “grupo de guerra psicológica”. Con el tiempo, evolucionaron en una unidad que mezcla técnicas de ciberataque con operaciones de propaganda. Su nombre, “匿名者64”, transmite esa ambigüedad: actuar desde el anonimato, pero con el propósito de dejar una huella en la mente de quienes consumen la información alterada.

📍El terreno que invaden y como se infiltra Anonymous 64.

Los mapas de Anonymous 64 no se centran en ministerios ni embajadas, sino en plataformas con alta exposición pública:

• Portales web gubernamentales y corporativos.

• Sistemas de medios digitales y televisivos.

• Pantallas electrónicas en espacios públicos.

• Plataformas de streaming y redes de noticias en línea.

Su objetivo no es robar datos confidenciales, sino distorsionar el mensaje: modificar transmisiones, insertar mensajes de “Taiwán independiente” o propaganda hostil, y manipular lo que la gente ve en tiempo real. Para lograrlo, recurren a tácticas como:

• Explotación de vulnerabilidades en sistemas web expuestos.

• Uso de accesos no parcheados en servicios de medios y TV en línea.

• Control de servidores para insertar contenido audiovisual manipulado.

• Inserción de mensajes falsos en pantallas y sitios hackeados.

Cada intrusión está diseñada para amplificar un discurso político, alterando la confianza del público en sus instituciones y generando desorden social.

• 黑客 → Atacante / Hacker
• web漏洞利用 → Explotación de vulnerabilidad web
• 网络一个软件服务器 → Servidor de software en línea
• 部署 → Despliegue
• QuasarRAT后门 → Puerta trasera QuasarRAT
• 多种工具尝试获取登录凭证 → Herramientas múltiples para intentar obtener credenciales de inicio de sesión
• procdump → procdump (herramienta de volcado de memoria)
• postdump → postdump (herramienta de volcado de memoria)
• C&C 通信 → Comunicación C2 (Command & Control)
• APT组织服务器 → Servidor del grupo APT

1.- Punto de entrada inicial

El atacante (黑客 → hacker) aprovecha una vulnerabilidad web (Web漏洞利用) para infiltrarse en un servidor de software en línea (网络一个软件服务器).

2.- Despliegue de malware

Una vez comprometido el sistema, procede al despliegue (部署) de una puerta trasera QuasarRAT (QuasarRAT后门), que le permite obtener control remoto encubierto del servidor comprometido.

3.- Obtención de credenciales

En paralelo, utilizan distintas herramientas de volcado de memoria para recolectar credenciales:

• procdump

• postdump

De esta forma, el atacante busca robar claves de acceso y ampliar el control dentro de la red.

4.- Comunicación con infraestructura de mando y control (C2)

El backdoor QuasarRAT inicia comunicación con C2 (C&C 通信), estableciendo un canal directo con los servidores del grupo APT (APT组织服务器). Esto les garantiza persistencia, exfiltración y la posibilidad de ejecutar comandos a distancia.

🕒 Momentos clave de las campañas de APT-C-64—Anonymous 64.

📌 2022

El grupo incrementa su actividad:

• Campañas de manipulación en sitios gubernamentales.

• Alteración de contenidos en portales de noticias digitales.

• Defacements con mensajes políticos.

📌 2023

Año de mayor exposición:

• Durante los Juegos Asiáticos de Hangzhou, ejecutaron múltiples ataques contra portales oficiales y pantallas públicas.

• Aprovecharon vulnerabilidades web para controlar sistemas de transmisión.

• Buscaron impactar a la opinión pública internacional en un evento de gran visibilidad.

📌 2024

Declive técnico y operativo:

• Falta de financiamiento y reducción de capacidades.

• Sus ataques comenzaron a caer en trampas de seguridad (honeypots), exponiendo identidades de operadores.

• El grupo fue catalogado como de “tercera categoría”, incapaz de sostener operaciones de alto nivel.

Anonymous 64 no es el espía silencioso ni el cazador estratégico: es el propagandista digital. Su campo de batalla son las pantallas y las transmisiones, y su objetivo es manipular percepciones, alterar mensajes y sembrar desorden. Aunque en los últimos años su nivel técnico ha caído, sus campañas recuerdan que, en la guerra cibernética, no todo se mide en secretos robados: a veces, basta con cambiar un mensaje en el momento adecuado para influir en la opinión pública.

🍂 APT-C-65 — Golden Leaf Vine (金叶萝)

Golden Leaf Vine no es un espía cualquiera, es un mercader de inteligencia. Sus operaciones no se limitan a infiltrar y recolectar datos: su verdadero poder radica en seleccionar el momento político adecuado para actuar y entregar la información obtenida como un “tributo” en escenarios internacionales. Desde 2020, sus campañas muestran un patrón claro: se activan en sincronía con los viajes, reuniones y contactos de alto nivel entre Taiwán y Estados Unidos.

Su nombre, “金叶萝”, evoca la imagen de una enredadera dorada: algo que crece sigilosamente, se adhiere a sus objetivos y, cuando llega el instante oportuno, exhibe sus frutos. Golden Leaf Vine es esa planta: se expande en sectores estratégicos como defensa, energía y transporte, y entrega sus hallazgos como moneda de cambio en la arena diplomática.

📍El terreno que invaden y como se infiltra APT-C-65—Golden Leaf Vine.

Los mapas de Golden Leaf Vine se enfocan en infraestructuras críticas y sectores de alto valor:

• Industria de defensa y complejo militar-industrial.

• Aeronáutica y aeroespacial.

• Energía y transporte estratégico.

• Puertos y logística marítima.

• Centros de investigación y universidades técnicas.

Su puerta de entrada combina el engaño clásico con técnicas avanzadas:

• Campañas de phishing dirigidas con señuelos políticos y técnicos.

• Explotación de vulnerabilidades en sistemas web y redes internas.

• Uso de herramientas similares a APT-C-62, incluyendo malware modular y RATs.

• Persistencia mediante implantes y accesos encubiertos a largo plazo.

Cada operación está diseñada para recolectar datos estratégicos justo cuando estos resultan más valiosos en el tablero político internacional.

⚔️ Arsenal ofensivo de APT-C-65—Golden Leaf Vine.

QuasarRAT: herramienta de administración remota de código abierto, adaptada para obtener control total del sistema, registrar pulsaciones de teclado, capturar pantalla y robar credenciales almacenadas.

Sliver: framework modular de post-explotación alternativo a Cobalt Strike, con capacidades de command-and-control (C2), ejecución en memoria, comunicación cifrada y despliegue de implantes personalizados.

Stager y Bypass loaders: pequeñas cargas iniciales diseñadas para evadir defensas (AMSI bypass, UAC bypass, inyección reflectiva), preparando el terreno antes de desplegar RATs o plataformas más complejas.

Exfiltración encubierta: utilizan protocolos comunes como HTTPS o DNS tunneling, lo que permite camuflar el tráfico malicioso entre comunicaciones legítimas y reducir las probabilidades de detección.

🕒 Momentos clave de las campañas de APT-C-65—Golden Leaf Vine.

📌 2022

Coincidiendo con la visita de Nancy Pelosi a Taiwán:

• Ataques contra defensa, energía y transporte.

• Phishing con señuelos políticos y diplomáticos.

• Exfiltración de datos de puertos y agencias marítimas.

📌 2023

Durante el tránsito de Lai Ching-te por Estados Unidos:

• Ataques dirigidos a universidades y centros de investigación.

• Explotación de vulnerabilidades en redes gubernamentales.

• Búsqueda de inteligencia en proyectos aeroespaciales.

📌 2024

En paralelo a la participación de Taiwán en ejercicios de ciberseguridad con CISA (EE.UU.):

• Campañas intensivas contra el sector marítimo, defensa y aeroespacial.

• Despliegue de malware modular en sistemas industriales.

• Recolección masiva de datos estratégicos, entregados como “tributo” político.

Golden Leaf Vine es el hacker diplomático: no roba por robar, sino para ofrecer información como moneda de cambio. Sus operaciones son una extensión de los movimientos políticos de Taiwán, diseñadas para coincidir con encuentros internacionales y negociaciones clave. Su persistencia técnica y su precisión estratégica lo convierten en uno de los grupos más peligrosos: no por el ruido que hace, sino por el valor que adquiere lo que roba en el momento exacto.

🎥 APT-C-67 — Ursula (乌苏拉)

Ursula no nació como un gigante del espionaje digital, sino como un actor emergente que supo encontrar su propio terreno: el Internet de las Cosas. Este grupo descubrió que, en un mundo obsesionado con conectar cámaras, sensores y sistemas de seguridad, los mejores secretos no siempre se esconden en documentos cifrados, sino en las imágenes en tiempo real que capturan los ojos electrónicos de las ciudades.

Desde su aparición, Ursula se ha dedicado a comprometer sistemas de videovigilancia y dispositivos IoT en China continental y en las regiones de Hong Kong y Macao. Su estrategia recuerda a la de un intruso que no roba papeles de un despacho, sino que instala cámaras ocultas para observar cada movimiento.

📍El terreno que invaden y como se infiltra APT-67—Ursula.

Los mapas de Ursula apuntan a objetivos muy específicos:

• Sistemas de videovigilancia urbana.

• Cámaras de seguridad en instalaciones críticas.

• Redes IoT en edificios gubernamentales y comerciales.

• Plataformas de control de seguridad y alarmas.

Para lograr acceso, emplean tácticas de exploración automatizada y abierta:

• Uso de plataformas como Shodan o Censys para identificar sistemas expuestos.

• Escaneo masivo de direcciones IP en busca de cámaras vulnerables.

• Explotación de vulnerabilidades conocidas en firmware de dispositivos IoT.

• Acceso ilícito a paneles de control de seguridad para manipularlos a voluntad.

Una vez dentro, despliegan backdoors y herramientas de control remoto que les permiten no solo mirar, sino también manipular el flujo de video y acceder a las grabaciones históricas.

• 黑客 → Atacante / Hacker
• 漏洞利用 → Explotación de vulnerabilidad
• 安防设备 → Equipo de seguridad (sistemas de videovigilancia / IoT)
• 下载攻击组件 → Descarga de componentes maliciosos
• shellcode加载器 → Cargador de shellcod
• Quasar远控 → Control remoto Quasar (RAT)
• 持久化工具 → Herramientas de persistencia
• 各类安全工具 → Herramientas de seguridad diversas (utilizadas para recolectar info)
• 系统信息 → Información del sistema
• 数据库 → Base de datos

1.- Punto de entrada inicial

El atacante (黑客 → hacker) aprovecha una vulnerabilidad (漏洞利用) en un equipo de seguridad (安防设备), principalmente sistemas de videovigilancia y dispositivos IoT, para obtener acceso inicial.

2.- Despliegue de malware

Una vez comprometido el dispositivo, descarga e instala (下载攻击组件) diferentes componentes maliciosos:

• shellcode加载器 → cargador de shellcode para ejecución en memoria.

• Quasar远控 → RAT Quasar para control remoto del dispositivo.

• 持久化工具 → herramientas de persistencia para asegurar el acceso tras reinicios.

3.- Recolección de información

Posteriormente, despliegan 各类安全工具 → utilidades de recolección, con las cuales extraen:

• Información del sistema (系统信息).

• Contenido de bases de datos (数据库), como registros de cámaras y logs de seguridad.

4.- Comunicación y control

Con Quasar RAT y las herramientas de persistencia, Ursula asegura un canal estable con su infraestructura, lo que le permite no solo exfiltrar imágenes y datos en tiempo real, sino también manipular el flujo de video de los sistemas comprometidos.

🕒 Momentos clave de las campañas de APT-C-67—Ursula.

📌 2022

Primera ola de intrusiones:

• Escaneo masivo de cámaras conectadas en Hong Kong y Macao.

• Explotación de dispositivos con firmware desactualizado.

• Acceso inicial a bases de datos de videograbaciones.

📌 2023

Consolidación de técnicas:

• Uso intensivo de Shodan y Censys para mapear objetivos.

• Compromiso de sistemas IoT en instituciones públicas.

• Exfiltración de información visual para seguimiento de movimientos en áreas sensibles.

📌 2024

Expansión de operaciones:

• Control simultáneo de redes de videovigilancia completas.

• Acceso a grabaciones históricas y en tiempo real para fines de inteligencia.

• Posible coordinación con campañas militares y de ciberespionaje más amplias.

Ursula se ha convertido en un recordatorio inquietante de que la seguridad digital no solo se mide en firewalls y contraseñas, sino también en los millones de ojos electrónicos que vigilan nuestras calles. Su habilidad para controlar cámaras y sistemas de videovigilancia lo convierte en un espía invisible: uno que no roba documentos ni secuestra redes, pero que observa cada movimiento con la paciencia de un depredador.

La radiografía de estos cinco grupos APT revela que, aunque sus métodos y estilos varían, todos comparten un mismo hilo conductor: operar desde las sombras, con precisión quirúrgica y con objetivos estratégicos que apuntan a la seguridad, la diplomacia y la infraestructura crítica. No se trata de ataques improvisados ni de delincuentes aislados, sino de operaciones coordinadas que mezclan ingeniería social, malware sofisticado y una lectura fina del contexto político y geopolítico. Cada movimiento responde a una agenda mayor, donde el control de la información vale tanto como el dominio de un territorio.

Así, el informe no solo nos habla de ciberataques, sino de un nuevo campo de batalla en el que Taiwán utiliza estas células digitales como brazos extendidos en su pulso con China. Los ministerios, las universidades, los puertos y hasta las cámaras de videovigilancia se convierten en trincheras invisibles donde se libra una guerra silenciosa. Entender a estos actores, mapear sus tácticas y anticipar sus próximos pasos no es solo un ejercicio de inteligencia: es una necesidad urgente para cualquier nación o institución que desee sobrevivir en esta era de confrontaciones invisibles.