Liminal Panda, un grupo de ciberamenazas asociado a China, ha sido identificado como responsable de una serie de ataques dirigidos contra el sector de las telecomunicaciones desde al menos 2020. Utilizando herramientas avanzadas y un profundo conocimiento de redes, este grupo ha comprometido infraestructuras clave en varias regiones del mundo, poniendo en riesgo la seguridad de datos sensibles y la estabilidad de las comunicaciones globales.
Según
CrowdStrike,
Liminal Panda lleva a cabo operaciones diseñadas para lograr
acceso encubierto a redes, establecer mecanismos de mando y control (C2), y extraer información sensible. El grupo utiliza herramientas personalizadas y su avanzado conocimiento de las interconexiones entre proveedores de telecomunicaciones para ampliar su alcance, aprovechando
servidores previamente comprometidos como plataformas de ataque.
Liminal Panda se centra principalmente en la recopilación de inteligencia, como lo demuestra el desarrollo de herramientas especializadas que emulan el sistema global de comunicaciones móviles. Estas herramientas permiten acceder a información de suscriptores móviles, metadatos de llamadas y mensajes de texto. Estas acciones sugieren que su objetivo es mantener un acceso prolongado y discreto en redes de telecomunicaciones críticas.
En 2021, CrowdStrike atribuyó intrusiones previamente relacionadas con el grupo LightBasin a Liminal Panda, tras una revisión exhaustiva de actividades en redes disputadas por varios actores maliciosos. El análisis concluyó que este grupo utiliza herramientas proxy públicas como parte de su infraestructura, reforzando su capacidad de operar sin ser detectado.
Herramientas y vínculos estratégicos
Liminal Panda emplea una combinación de malware personalizado y herramientas de acceso público, como Cobalt Strike, TinyShell y Fast Reverse Proxy, que facilitan el camuflaje de sus comunicaciones y operaciones dentro de redes comprometidas. Además, utiliza infraestructura de servidores VPS, proporcionada por servicios como Vultr, para ocultar la ubicación de sus actividades.
CrowdStrike ha vinculado las operaciones de Liminal Panda con actividades cibernéticas asociadas a China, basándose en factores como el uso de dominios en Pinyin, cadenas de claves específicas y la coincidencia de infraestructura con otros grupos chinos, como Sunrise Panda y Horde Panda. Una clave particular, wuxianpinggu507, traducida como evaluación inalámbrica, destaca su especialización en sistemas de telecomunicaciones.
Una amenaza creciente para la seguridad global
CrowdStrike ha concluido que Liminal Panda representa una amenaza seria para el sector de las telecomunicaciones debido a su capacidad de comprometer redes críticas y extraer datos sensibles. Aunque su motivación parece centrarse en la recopilación de inteligencia, el impacto de sus operaciones subraya la necesidad de fortalecer las medidas de seguridad y mantener una vigilancia constante por parte de las entidades potencialmente afectadas.
Si (
No(
