Ciberespionaje a la Policía de Balochistán: Alerta por vulnerabilidades críticas
Publicado el
Ciberespionaje a la Policía de Balochistán
Recientes investigaciones han expuesto una campaña de ciberespionaje dirigida a varias organizaciones de aplicación de la ley en Pakistán, en particular a la Policía de Balochistán. Este ataque, que involucra a actores de amenazas probablemente alineados con China e India, tuvo lugar entre febrero de 2024 y abril de 2026.
Los atacantes lograron comprometer servidores que alojan aplicaciones web críticas para la gestión de datos policiales y de ciudadanos, incluidos registros criminales y biométricos. Según Aleksandar Milenkoski, investigador principal de SentinelOne, uno de los sistemas afectados fue el Complaint Management System (CMS), utilizado tanto por el personal policial como por los ciudadanos, lo que amplifica el riesgo para ambos grupos.
Además de Balochistán, se identificó infraestructura comprometida en otras fuerzas policiales de Pakistán, como la Policía de Khyber Pakhtunkhwa, la Policía de Islamabad y la Autoridad de Ciudades Seguras de Punjab (PSCA). Se han detectado cuatro grupos de amenazas distintos, cada uno utilizando diferentes familias de malware, incluyendo PlugX, ShadowPad, Cobalt Strike y Remcos RAT.
El uso de Remcos RAT se ha relacionado con actores de amenazas de India, mientras que PlugX y ShadowPad son comúnmente asociados con grupos de hacking patrocinados por el estado chino. La actividad de PlugX se observó entre el 27 de febrero y el 28 de septiembre de 2024, mientras que ShadowPad fue activo del 3 de agosto al 1 de diciembre de 2024, lo que refuerza la evaluación de su conexión con actores estatales.
Los ataques han estado diseñados para atraer a usuarios de la policía, presentando documentos falsos que aparentan contener planes operativos sobre la repatriación de extranjeros ilegales, incluidos los titulares de la Tarjeta de Ciudadano Afgano (ACC). Este enfoque ha permitido a los atacantes acceder a información sensible, utilizando técnicas de engaño que han demostrado ser efectivas.
El tráfico hacia el servidor de comando y control (C2) controlado por los atacantes ha revelado que las víctimas se extienden más allá de las fuerzas del orden de Pakistán, incluyendo entidades gubernamentales, académicas y no gubernamentales a lo largo de Asia, Oriente Medio y América del Sur, lo que sugiere un enfoque sistemático en la recolección de inteligencia por parte de actores alineados con China.
Entre los activos comprometidos en la Policía de Balochistán se incluyen: - Dos servidores de red que alojan aplicaciones web vinculadas a la iniciativa de digitalización de Smart Police Station. - Un dispositivo Fortinet FortiMail, que servía como puerta de enlace de correo electrónico principal.
Uno de los malware utilizados en la operación es el cms_plugin.exe, que se ha distribuido en dos variantes. Una de ellas, un stager de Rust, está diseñada para descargar un payload adicional, mientras que el otro se disfraza como 360Safe.exe, un binario legítimo, que implementa un cliente AsyncRAT.
Este ataque destaca por la convergencia de múltiples actores de ciberespionaje contra las instituciones de fuerza pública de un solo estado, lo que, según Milenkoski, indica el alto valor de la información que albergan. La recopilación de inteligencia sobre la seguridad interna y las amenazas del país es un objetivo atractivo para estos grupos.
La situación subraya la necesidad de que las instituciones policiales en Pakistán refuercen sus medidas de ciberseguridad para protegerse de estas amenazas emergentes y mantener la integridad de sus sistemas y la confianza del público.