Ciberdelincuentes del grupo chino Flax Typhoon aprovecharon componentes confiables de ArcGIS para mantener un acceso oculto y prolongado a sistemas empresariales clave. La sofisticación del ataque subraya la importancia de vigilar el uso inusual de herramientas legítimas en la red.Los equipos de seguridad han sido alertados tras descubrirse que el grupo APT conocido como Flax Typhoon empleó técnicas innovadoras para convertir un módulo confiable de ArcGIS en una puerta trasera persistente. El ataque dirigido principalmente a infraestructuras críticas y organizaciones de Taiwán, también evidencia el creciente riesgo sobre cualquier aplicación pública expuesta.Tras acceder al entorno de la víctima, los atacantes comprometieron una cuenta de administrador en ArcGIS y desplegaron una extensión SOE Java personalizada como web shell. Este módulo malicioso se activaba mediante operaciones REST estándar e incluía un sistema de autenticación mediante clave dura, necesario para ejecutar comandos en el servidor interno. El ataque incluía la carga encubierta de SoftEther VPN para mantener la persistencia y, tras realizar movimientos laterales, atacaron equipos de IT internos. Cabe destacar que la amenaza persistió incluso después de remediar y restaurar el sistema, ya que los archivos maliciosos sobrevivieron en los respaldos automáticos.La manipulación de componentes legítimos de ArcGIS permitió eludir la detección tradicional basada en IOC, provocando riesgos elevados como el acceso prolongado (“hands-on-keyboard”), exfiltración de información sensible sobre infraestructuras críticas y la posibilidad de nuevos ataques mediante movimiento lateral o escalada de privilegios. Además de comprometer operaciones esenciales, este vector puede servir como trampolín hacia otras redes OT/IT interconectadas.Se recomienda abandonar la exclusiva confianza en indicadores estáticos y avanzar hacia la búsqueda proactiva de amenazas en aplicaciones legítimas. Es fundamental revisar extensiones personalizadas en ArcGIS, implantar capas adicionales de autenticación para portales públicos y someter a escrutinio exhaustivo cualquier restauración de backup. La monitorización de operaciones anómalas y la actualización rigurosa de guías de seguridad interna son pasos clave.Este incidente es un claro recordatorio de que el software legítimo puede transformarse en una amenaza interna bajo ataques sofisticados. La vigilancia proactiva y la revisión constante de software confiable y sus extensiones deben convertirse en prioridades para cualquier empresa con servicios críticos expuestos.Más informaciónChinese Hackers Use Trusted ArcGIS App For Year-Long Persistence: https://www.infosecurity-magazine.com/news/chinese-hackers-use-trusted-arcgis/La entrada Convierten ArcGIS legítimo en una puerta trasera persistente se publicó primero en Una Al Día.