Prayukth K V
28 de enero de 2026
Eventos recientes en China han proyectado una larga sombra sobre las actividades de los actores respaldados por el estado apoyados por Beijing. Aunque hay una ligera disminución en las actividades de los actores de amenazas chinos registradas en todo el mundo, esto de ninguna manera es una disminución prolongada. Más bien, esta pausa refleja una desaceleración temporal a medida que el Ministerio de Seguridad del Estado de China recalibra sus prioridades en respuesta a cambios repentinos e inesperados en el entorno político interno.
La "silla vacía" vista en la sesión de estudio de alto nivel del 20 de enero de 2026 en Beijing señaló lo que se llama la decapitación más significativa del Ejército Popular de Liberación (EPL) en la era moderna. La confirmación oficial llegó poco después, el 24 de enero. El general Zhang Youxia (Vicepresidente de la CMC) y el general Liu Zhenli (Jefe de Estado Mayor, Departamento de Estado Mayor Conjunto) fueron arrestados y están siendo investigados por presuntas violaciones de disciplina, dejando el aparato militar chino en un estado de fricción interna sin precedentes.
Para la comunidad global de ciberseguridad, esto no es otro caso de convulsión geopolítica contenida regionalmente. El Departamento de Estado Mayor Conjunto de la Comisión Militar Central (JSDCMC) es el principal órgano de mando operativo para el Ejército Popular de Liberación (EPL) y en este papel tiene un nivel significativo de influencia sobre los grupos de amenazas persistentes avanzadas (APT) más formidables de China que informan al Ministerio de Seguridad del Estado (MSS).
En todos los asuntos de inteligencia militar y diplomática, el Departamento de Estado Mayor Conjunto (JSD) bajo la Comisión Militar Central tiene la última palabra. Esto incluye aprobar la calidad y relevancia de la inteligencia así como, si es necesario, aprobar más análisis o actividades y recursos para obtener más datos. De hecho, Liu Zhenli era responsable de las operaciones de combate, la coordinación interservicios durante guerras, los movimientos de unidades y la inteligencia. El JSD es uno de los principales consumidores de inteligencia de amenazas procesada producida por los grupos APT.
La Comisión Militar Central (CMC), por otro lado, es la autoridad nacional de comando más alta para las fuerzas armadas de China. Supervisa al Ejército Popular de Liberación (EPL), la Policía Armada Popular (PAP) y la Milicia. Está presidida por nada menos que Xi Jinping y dirige la estrategia militar, la modernización, el personal, el equipo y el entrenamiento. En cierto modo, garantiza el liderazgo del Partido Comunista sobre el ejército. Es esencial entender el papel de la CMC en el contexto de lo que está sucediendo en China hoy.
La reorganización de la Comisión Militar Central tiene implicaciones estratégicas para las actividades de los grupos APT chinos. Ese es el vínculo que exploraremos en el blog de hoy.
Antes de avanzar, no olviden revisar nuestra publicación anterior del blog "NIST busca la opinión de la industria sobre la revisión importante del SP 800-82 para la seguridad de la tecnología operativa", aquí.
Caos en el comando
Múltiples fuentes creíbles han afirmado que el arresto de Zhang y Liu ha desencadenado un estado de "resistencia pasiva" dentro del ejército. Según filtraciones de inteligencia no verificadas supuestamente provenientes desde dentro del EPL, los oficiales de nivel junior y medio están volviéndose cada vez más adversos al riesgo, enfocándose más en la supervivencia política que en la innovación operativa.
Impacto en las operaciones cibernéticas:
Pausa Operacional: En las últimas 89 horas, hemos observado y señalado una pausa temporal en las campañas de spear-phishing de "alta iniciativa". Esto podría ser porque las unidades cibernéticas están esperando nuevos "comisarios políticos" para aprobar sus listas de objetivos.
El volumen de escaneos entrantes también ha disminuido significativamente. El volumen de señales afiliadas a APT chinas en todo el ciberespacio ha caído de un máximo de 37,500 registrado el 2 de enero de 2026 a 3781 registrado a las 8 PM GMT el martes, 27 de enero de 2026.
El vacío de comando: Con la Comisión Militar Central (CMC) ahora vacía, la orientación estratégica para grupos como Volt Typhoon y APT41 podría haber cambiado de la disrupción estratégica a largo plazo a tareas inmediatas de preservación del régimen. Es posible que a estos grupos también se les haya pedido reiterar su juramento de seguir las direcciones del Comandante Supremo.
Otras razones para la pausa
· El primer buró del MSS responsable de la inteligencia y operaciones domésticas puede haber sido fortalecido con la incorporación de miembros entrenados adicionales de otros burós.
· Esto también podría ser cierto sobre el quinto buró que es responsable del análisis de inteligencia.
· El MSS sabe que atraerá una mayor atención de otras agencias de inteligencia durante este período y, por lo tanto, está interesado en mantener su huella operativa baja.
· Una orden de detenerse del propio Comandante Supremo para evitar que estas agencias sean utilizadas para operaciones que no estén autorizadas por Xi mismo
Evolución táctica: Grupos APT chinos en 2026
A pesar de la agitación en los niveles más altos, la actividad "a manos del teclado" de los actores patrocinados por el estado sigue siendo letalmente eficiente de otra manera. El panorama actual de amenazas está esencialmente definido por tres tendencias principales:
La armamentización de Edge y vulnerabilidades de día n
En enero de 2026, los investigadores identificaron un aumento en los APT chinos explotando CVE-2025-8088, una vulnerabilidad de alta gravedad en el manejo de flujos de datos alternativos de WinRAR. Al incrustar archivos maliciosos en archivos cebo, los actores están logrando eludir la detección tradicional en puntos finales.
Objetivo principal: Entidades gubernamentales y militares en todo el Indo-Pacífico.
Malware: Las variantes de PoisonIvy y PlugX (SOGU.SEC) están siendo extensamente redistribuidas a través de este método.
La ola de "Tifón" de SharePoint
El centro de inteligencia de amenazas de Microsoft recientemente rastreó Linen Typhoon y Violet Typhoon (también conocidos como APT27/Emissary Panda) explotando vulnerabilidades de SharePoint CVE-2025-49704 y CVE-2025-49706.
Técnica: Estos grupos están basando sus ataques en intrusiones sin "malware" para robar claves criptográficas (datos de MachineKey), permitiéndoles forjar tokens de autenticación y mantener acceso persistente sin puertas traseras tradicionales.
Estadística: Los datos actuales sugieren que el 81 por ciento de las intrusiones chinas activas en 2026 ahora son "sin malware", basándose completamente en binarios Living-off-the-Land (LOTL) como PowerShell y WMI.
Un nuevo marco
Ha surgido un nuevo marco basado en JScript como la herramienta preferida para los clusters de actividad como SHADOW-VOID-044. Este marco es altamente modular, sirviendo desde actualizaciones falsas de Chrome hasta puertas traseras modulares como MKDOOR.
Estudio de caso: El "Pre-Posicionamiento" de Volt Typhoon
Mientras se purga el liderazgo del EPL, Volt Typhoon (Taurus Insidioso) de hecho ha intensificado su enfoque en la infraestructura crítica de los EE.UU. y sus aliados.
"La purga interna puede de hecho acelerar los tiempos de Volt Typhoon", sugiere un analista senior. "Si el EPL siente que su preparación cinética se ve comprometida por el cambio de liderazgo, pueden apoyarse más en 'trampas digitales' como disuasión contra la intervención de EE.UU. en el Mar del Sur de China."
Observaciones clave en 2026:
Enfoque: Energía, Agua y Telecomunicaciones.
Método: Uso continuo de enrutadores SOHO comprometidos (ASUS, Cisco, Netgear) para crear una "red" de tráfico de C2 obfuscado que se mezcla en el espacio IP residencial.
Perspectiva estratégica: ¿Qué podría ser lo siguiente?
Esta es una fase de inmensa volatilidad en China. Está claro sin decirlo. Una vez que las cosas alcancen cierto nivel de estabilidad, los grupos APT estarán de nuevo en acción.
Métrica | Antes de la purga de 2026 | Estado actual de 2026 |
Cohesión de mando | Alta (Operaciones conjuntas integradas) | Baja (fragmentada/aversion al riesgo) |
Agresión cibernética | Estrategica/planificada | Táctica/reactiva/ataques de baja intensidad |
Objetivo | Robo de IP e Infraestructura | Lealtad, seguridad del régimen y disuasión |
Dificultad de detección | Alta (Técnicas LOTL) | Sin cambios hasta ahora |
La lealtad y la preservación del régimen son los factores clave para el MSS hoy. Con la reorganización de la CMC, los grupos APT chinos han perdido un mecenas por ahora. Una vez que los nuevos miembros de la CMC sean admitidos, estos grupos pueden ser reorganizados y dirigirse a obtener algunas victorias rápidas para demostrar que todavía están en el negocio. Por lo tanto, deberíamos estar preparados para un período de actividad intensificada de APT chinos pronto.
Reserve una sesión informativa gratuita sobre inteligencia de amenazas con Shieldworkz, aquí.
Regístrese en nuestro servicio de cumplimiento NIST SP 800 aquí.
Acceda a nuestros libros de referencia reglamentarios aquí.
Obtenga nuestro paquete de plantillas de políticas de seguridad OT aquí.
Recibe semanalmente
Recursos y Noticias
También te puede interesar
3 mar 2026
Cómo la crisis de Irán está afectando el ciberespacio
Equipo Shieldworkz
2 mar 2026
Amenazas cibernéticas en Medio Oriente: Lo que las organizaciones necesitan saber ahora mismo
Equipo Shieldworkz
27 feb 2026
Construyendo un programa de ciberseguridad OT con IEC 62443 y NIST SP 800-82
Equipo Shieldworkz
25 feb 2026
Todo sobre la nueva Caja de Herramientas de Seguridad de la Cadena de Suministro de TIC de la UE
Prayukth K V
24 feb 2026
IA y NERC CIP-015: Automatización de la Detección de Anomalías en Infraestructura Crítica
Equipo Shieldworkz
23 feb 2026
Uso del marco IEC 62443 para cumplir con NIST SP 800-82: Guía para el CISO
Prayukth K V
