Basado en información de The Hacker News →
Introducción
Cuando un grupo APT convierte una herramienta de productividad en su canal de control, la línea entre lo legítimo y lo malicioso se vuelve casi invisible. Eso es exactamente lo que está ocurriendo ahora contra el gobierno de India.
El problema
Según reportó The Hacker News, el grupo de espionaje cibernético Mustang Panda, vinculado a China, ejecuta dos campañas activas contra el gobierno indio y objetivos del sector hidroeléctrico. La unidad de investigación de Acronis detectó compromisos dentro de redes gubernamentales de India, incluyendo máquinas de personal administrativo de alto rango. Lo novedoso del ataque es que los atacantes están usando Zoho WorkDrive —un servicio legítimo de almacenamiento en la nube— como canal de comando y control (C2), mezclando tráfico malicioso con tráfico corporativo normal.
Consecuencias
El riesgo inmediato es la exfiltración de documentos clasificados, planes de infraestructura crítica y comunicaciones internas de alto nivel. Para cualquier gobierno, perder el control sobre las estaciones de trabajo de funcionarios senior implica que decisiones estratégicas pueden estar siendo monitoreadas en tiempo real. Además, al usar un servicio en la nube legítimo, las defensas tradicionales basadas en listas de bloqueo de IP o dominios maliciosos simplemente no detectan la anomalía.
Causas
La causa raíz no es una vulnerabilidad técnica en Zoho WorkDrive, sino la falta de visibilidad sobre qué aplicaciones cloud autorizadas están siendo utilizadas como vector de ataque. Mustang Panda aprovecha que el tráfico hacia WorkDrive es considerado benigno por firewalls y proxies, y lo usa para enviar comandos a sus malware sin levantar sospechas. La causa humana es la ausencia de segmentación de red y monitoreo de comportamiento de aplicaciones SaaS en entornos gubernamentales.