Google Threat Intelligence Group (GTIG) y la firma de ciberseguridad Mandiant han logrado desarticular la infraestructura de UNC2814, un grupo de ciberespionaje activo desde al menos 2017 y al que los investigadores vinculan con intereses estatales chinos. La operación ha permitido frenar una de las campañas de vigilancia digital más amplias y sofisticadas detectadas en los últimos años, con intrusiones confirmadas en 42 países y evidencias de actividad en más de otros 20.
Según la investigación, GTIG ha confirmado 53 organizaciones comprometidas, principalmente proveedores de telecomunicaciones y entidades gubernamentales. El objetivo del grupo era obtener acceso a información sensible para identificar, rastrear y monitorizar comunicaciones de personas de interés, incluyendo datos personales, registros de llamadas y tráfico de mensajes.
Entre los datos buscados se encontraba información de identificación personal altamente sensible, como números de identidad nacional o de registro electoral, lo que refuerza el carácter estratégico y de inteligencia de las operaciones.
Uno de los elementos más novedosos de la campaña ha sido el uso de una puerta trasera denominada GRIDTIDE, identificada por Mandiant a finales de 2025. Este malware, desarrollado en lenguaje C, permitía a los atacantes utilizar hojas de cálculo en la nube como infraestructura de comando y control (C2), camuflando su actividad dentro del tráfico legítimo de red.
Google ha subrayado que no se trata de una vulnerabilidad en Google Sheets, sino del abuso de funcionalidades legítimas de la plataforma. Esta técnica refleja una tendencia creciente entre los actores de amenazas: el uso de servicios SaaS populares para evitar la detección y reducir la necesidad de infraestructuras propias.
Además, la arquitectura de GRIDTIDE es flexible, por lo que podría adaptarse fácilmente a otras herramientas de hojas de cálculo en la nube, lo que obliga a las organizaciones a reforzar sus sistemas de monitorización y detección.
Para frenar la campaña, Google llevó a cabo una operación coordinada que incluyó el cierre de proyectos en Google Cloud controlados por los atacantes, la desactivación de cuentas vinculadas y el “sinkholing” de dominios, una técnica que redirige el tráfico malicioso para cortar la comunicación con los sistemas comprometidos.
La compañía considera que esta intervención supone un retroceso significativo para una década de expansión operativa del grupo y ha enviado notificaciones formales a todas las organizaciones afectadas, a las que también está prestando asistencia técnica.
Aunque el foco mediático reciente se ha centrado en otros actores de ciberespionaje, Google ha aclarado que UNC2814 es un grupo independiente, sin relación con campañas como las atribuidas a “Salt Typhoon”, y que utiliza tácticas, objetivos e infraestructuras diferentes.
Los investigadores advierten que es probable que aparezcan nuevos casos anteriores a medida que las organizaciones revisen sus sistemas utilizando los indicadores de compromiso (IOC) publicados, lo que podría ampliar el alcance real de una operación que ya se considera una de las más extensas detectadas en el panorama actual de amenazas.
