¿Cuántos grupos APT chinos existen?

Se estima que China opera el ecosistema de ciberespionaje estatal más grande del mundo, con más de 20 grupos APT documentados públicamente. Los principales dependen de dos organizaciones: el MSS (Ministerio de Seguridad del Estado, inteligencia civil) y el PLA (Ejército Popular de Liberación, inteligencia militar).

¿Cuál es la diferencia entre MSS y PLA?

El PLA (unidades como 61398/APT1, 61486/APT10) se centra en espionaje militar e industrial. El MSS y sus contratistas (APT31, APT40, APT41) realizan espionaje político, económico y tecnológico. Tras la reforma de 2015, el PLA redujo operaciones cibernéticas y el MSS asumió un rol más prominente.

¿Qué técnicas comparten los APTs chinos?

Patrones comunes: explotación masiva de vulnerabilidades en perímetro (Exchange, VPN, firewalls), uso de China Chopper y ShadowPad como herramientas compartidas, living-off-the-land, operaciones durante horario laboral de Beijing (UTC+8), y compartición de infraestructura entre grupos.

IntermedioChinaAPTMSSPLAespionajethreat actor

APTs Chinos: Panorama Completo del Ciberespionaje del MSS y PLA

Panorama completo de las APTs chinas: estructura MSS vs PLA, principales grupos (APT1, APT10, APT31, Hafnium, Mustang Panda, Winnti), operaciones masivas, técnicas compartidas y el ecosistema de ciberespionaje más grande del mundo.

MalwareIntel Research·5 de junio de 2026·17 min lectura

Serie: APTs y Threat Actors — Parte 17

China opera el ecosistema de ciberespionaje estatal más grande y sofisticado del mundo

Ningún otro estado nacion se acerca a la escala de las operaciones cibernéticas chinas. Con más de 20 grupos APT documentados públicamente, dos organizaciones de inteligencia principales (MSS y PLA), un ecosistema de contratistas privados que ejecutan operaciones ofensivas, y campañas que han comprometido decenas de miles de organizaciones simultáneamente, China representa el actor de ciberamenaza estatal más prolífico en volumen, diversidad de objetivos y persistencia operacional.

Este artículo mapea el panorama completo: quién es quién, cómo se organizan, qué herramientas comparten, y cómo ha evolucionado el ecosistema desde las primeras operaciones del PLA hasta las campañas LOTL (living-off-the-land) de los grupos Typhoon.

Principales APTs chinos

Grupo	Aliases	MITRE ID	Organización	Foco principal
APT1	Comment Crew, Comment Panda	G0006	PLA Unidad 61398	Espionaje industrial (defensa, aeroespacial, energía)
APT10	Stone Panda, MenuPass, Red Apollo	G0045	PLA/MSS (debatido)	Proveedores de servicios IT (MSPs), propiedad intelectual
APT31	Judgment Panda, Zirconium	G0128	MSS (Wuhan)	Espionaje político, gobiernos, think tanks
APT40	Leviathan, Kryptonite Panda, Gadolinium	G0065	MSS (Hainan)	Naval, marítimo, defensa, universidades
Hafnium	Silk Typhoon	G0125	MSS	Servidores Exchange, exfiltración masiva email
Mustang Panda	Bronze President, RedDelta, Earth Preta	G0129	MSS (estimado)	Gobiernos del sudeste asiático, ONGs, telecoms
APT41	Winnti, Wicked Panda, Brass Typhoon	G0096	MSS (contratista Chengdu 404)	Dual: espionaje estatal + cibercrimen financiero
Volt Typhoon	Vanguard Panda, Bronze Silhouette	G1017	PLA/MSS (debatido)	Infraestructura crítica EEUU, pre-posicionamiento
Salt Typhoon	GhostEmperor, FamousSparrow	—	MSS (estimado)	Telecomunicaciones, intercepción de comunicaciones
Flax Typhoon	Ethereal Panda	G1029	MSS (contratista Integrity Tech)	IoT botnets, infraestructura crítica Taiwan

Estructura: MSS vs PLA

El ciberespionaje chino se organiza en torno a dos pilares institucionales con misiones, métodos y objetivos diferenciados.

PLA (Ejército Popular de Liberación)

El PLA fue el actor dominante en las operaciones cibernéticas chinas hasta 2015. Sus unidades operan bajo la Fuerza de Apoyo Estratégico (SSF, creada en la reforma de 2015, reorganizada como Fuerza de Apoyo Informático en 2024).

Unidades documentadas:

Unidad 61398 (APT1): con base en Shanghai, fue el primer grupo APT chino expuesto públicamente por Mandiant en 2013. Se centraba en espionaje industrial contra defensa, aeroespacial y tecnología.
Unidad 61486 (APT10): enfocada en proveedores de servicios gestionados (MSPs) como vector de acceso a sus clientes reales.
Unidad 78020 (Naikon/APT30): operaciones contra gobiernos del sudeste asiático.

El PLA se caracteriza por operaciones de espionaje militar directo: robo de planos de armamento, tecnología de defensa, secretos industriales con aplicación militar. Sus operadores eran frecuentemente oficiales militares en activo.

MSS (Ministerio de Seguridad del Estado)

El MSS es la agencia de inteligencia civil de China, equivalente funcional a una combinación de CIA y FBI. Tras 2015, asumió un rol cada vez más dominante en ciberoperaciones, especialmente a través de un modelo de contratistas.

Oficinas regionales documentadas:

MSS Hainan (APT40/Leviathan): espionaje naval y marítimo, investigación militar, universidades con programas de defensa.
MSS Wuhan/Hubei (APT31/Judgment Panda): espionaje político, campañas contra gobiernos europeos y norteamericanos, think tanks de política exterior.
MSS Guangdong (APT3/Gothic Panda): uno de los primeros grupos MSS documentados, activo 2010-2017.
MSS Tianjin (APT10 post-2017): posible transferencia de operaciones del PLA al MSS.

El MSS opera con mayor sofisticación operacional que el PLA. Sus campañas son más difíciles de atribuir, usan contratistas para mantener negación plausible, y sus objetivos incluyen espionaje político, económico y tecnológico.

Principales grupos por organización

Grupos del PLA

APT1 (Comment Crew, Unidad 61398). El caso que definió la era moderna de atribución de APTs. En febrero de 2013, Mandiant publicó su informe seminal vinculando directamente APT1 con la Unidad 61398 del PLA en un edificio de 12 plantas en Pudong, Shanghai. El informe documentaba el robo de cientos de terabytes de datos de al menos 141 organizaciones en 20 industrias durante 7 años. Los operadores trabajaban en horario laboral de Beijing y usaban infraestructura atribuible a China Telecom. Tras la exposición y el acuerdo Obama-Xi de 2015, la actividad de APT1 cayó drásticamente.

APT10 (Stone Panda, MenuPass). Responsable de la operación Cloud Hopper, una de las campañas de espionaje más ambiciosas documentadas. APT10 comprometió proveedores de servicios gestionados (MSPs) como HPE, IBM y otras multinacionales IT para obtener acceso a los clientes finales de estos proveedores. En lugar de atacar a cada objetivo individualmente, APT10 se infiltraba en el proveedor y pivotaba lateralmente hacia las redes de sus clientes. El DOJ de EEUU acusó formalmente a dos ciudadanos chinos vinculados a APT10 en diciembre de 2018. Tras las acusaciones, las operaciones se atribuyen cada vez más al MSS en lugar del PLA.

Grupos del MSS

APT31 (Judgment Panda, Zirconium). Vinculado a la oficina del MSS en Wuhan (Hubei). Su foco principal es el espionaje político: gobiernos, parlamentos, think tanks de política exterior, organizaciones de derechos humanos y periodistas. En 2024, el DOJ acusó a 7 ciudadanos chinos vinculados a APT31 por una campaña de 14 años contra políticos, empresas y disidentes. El grupo se hizo notable por campañas contra el Parlamento Finlandés (2020), el Parlamento Noruego (2021) y múltiples instituciones europeas. Sus métodos incluyen spear-phishing sofisticado con tracking pixels para perfilar objetivos antes de enviar payloads.

APT40 (Leviathan, Kryptonite Panda). Operado desde la provincia de Hainan bajo supervisión del MSS. Sus objetivos reflejan los intereses geopolíticos marítimos de China: defensa naval, investigación oceanográfica, industria marítima, universidades con programas de ingeniería naval. APT40 ha atacado objetivos en EEUU, Canadá, Europa, Oriente Medio, el sudeste asiático y el sur del Pacífico. En julio de 2021, una coalición de gobiernos (EEUU, UE, UK, Australia, Japón, Nueva Zelanda, Canadá) atribuyó públicamente a APT40 la explotación masiva de vulnerabilidades en Microsoft Exchange.

Hafnium (Silk Typhoon). Conocido por la explotación masiva de servidores Microsoft Exchange en enero-marzo de 2021 usando las vulnerabilidades ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065). Lo que distingue a Hafnium es la escala: se estima que al menos 30.000 organizaciones solo en EEUU (y posiblemente 250.000 globalmente) fueron comprometidas antes de que los parches estuvieran disponibles. El grupo opera exclusivamente desde infraestructura alquilada en EEUU (VPS, servidores dedicados), dificultando la detección basada en geolocalización IP.

Mustang Panda (Bronze President, RedDelta). Uno de los grupos chinos más activos y prolíficos desde 2017. Su foco geográfico es el sudeste asiático, aunque también ha atacado objetivos en Europa y América. Mustang Panda se distingue por el uso intensivo de PlugX (un RAT compartido por múltiples grupos chinos) personalizado con técnicas de DLL sideloading específicas. Sus campañas suelen usar documentos señuelo con contenido geopolítico relevante para la víctima (resoluciones de la UE, documentos de la ASEAN, informes sobre Taiwan). Ha mantenido un tempo operacional constante con actualizaciones regulares de su toolset.

APT41 (Winnti, Wicked Panda). El grupo chino más singular por su operación dual: espionaje estatal para el MSS durante horario laboral y cibercrimen financiero por cuenta propia fuera de horario. Vinculado a la empresa Chengdu 404 Network Technology. APT41 es responsable de múltiples ataques a la cadena de suministro (supply chain), incluyendo la compromisión de CCleaner (2017), ASUS Live Update (2019) y múltiples empresas de gaming. Perfil completo en nuestro artículo dedicado a APT41.

Herramientas compartidas: China Chopper, ShadowPad y PlugX

Una característica definitoria del ecosistema chino es la compartición de herramientas entre grupos. A diferencia de otros estados nacion donde cada grupo desarrolla su propio toolset, múltiples APTs chinos comparten frameworks, implantes y servidores de infraestructura.

China Chopper

Web shell minimalista (solo 4KB) que ha sido utilizada por al menos 8 grupos APT chinos documentados. Su simplicidad es su ventaja: un solo archivo ASPX/PHP/JSP que proporciona ejecución de comandos, gestión de archivos y tunneling. Su ubiquidad la convierte en un indicador ambiguo de atribución (detectarla no identifica al grupo, solo confirma un actor chino probable).

ShadowPad

Backdoor modular que funciona como sucesor de PlugX. Originalmente desarrollado por APT41/Winnti como herramienta privada, ShadowPad se convirtió en una plataforma compartida disponible para múltiples grupos tras una aparente centralización de desarrollo. Se ha observado en operaciones de APT41, APT10, Tick, Tonto Team y otros. Su arquitectura modular permite cargar plugins para keylogging, captura de pantalla, exfiltración y más. ShadowPad se ha convertido en el mejor indicador de operaciones respaldadas por el MSS.

PlugX (Korplug)

RAT con más de una década de uso activo. PlugX se ha observado en campañas de Mustang Panda, APT10, APT41, APT27, Emissary Panda y al menos otros 5 grupos. Cada grupo tiende a personalizar sus variantes con técnicas específicas de DLL sideloading y configuraciones C2 distintas, pero el core del implante es reconociblemente el mismo. La longevidad de PlugX (activo desde al menos 2012) demuestra que la compartición de herramientas no es incidental sino estructural.

Técnicas MITRE ATT&CK comunes

Técnica	ID ATT&CK	Grupos que la usan	Contexto
Exploit Public-Facing Application	T1190	APT40, Hafnium, APT41, Volt Typhoon	VPN, Exchange, firewalls, Citrix
Valid Accounts	T1078	Volt Typhoon, Salt Typhoon, APT10	Credenciales robadas o por defecto
DLL Side-Loading	T1574.002	Mustang Panda, APT41, APT27, APT10	Cargar PlugX/ShadowPad via binario legítimo
Command and Scripting Interpreter	T1059	APT1, APT31, APT41, Mustang Panda	PowerShell, cmd.exe, Python
Ingress Tool Transfer	T1105	APT1, APT10, APT40, Hafnium	Descargar herramientas post-compromiso
Archive Collected Data	T1560	APT1, APT10, APT31, APT40	RAR/7z antes de exfiltración
Proxy: Multi-hop Proxy	T1090.003	APT31, APT41, APT10, Salt Typhoon	ORBs (Operational Relay Boxes)
OS Credential Dumping	T1003	APT1, APT10, APT41, Volt Typhoon	Mimikatz, ntdsutil, hashdump
Scheduled Task/Job	T1053	APT10, APT40, Mustang Panda	Persistencia via tareas programadas
Data from Network Shared Drive	T1039	APT1, APT10, APT31	Recolección masiva de datos internos

Patrón temporal compartido: la mayoría de APTs chinos operan en horario laboral de Beijing (UTC+8), aproximadamente 08:00-17:00 CST, de lunes a viernes. Las excepciones son los grupos con componente cibercriminal (APT41 fuera de horario) y las operaciones Typhoon que buscan persistencia continua.

Campañas de escala masiva

Operation Aurora (2009-2010)

La primera gran campaña china contra empresas tecnológicas occidentales. Atacó a Google, Adobe, Juniper Networks, Rackspace, Morgan Stanley y al menos otras 30 empresas. Google reveló públicamente el ataque en enero de 2010 y parcialmente se retiró de China como resultado. Aurora explotó una vulnerabilidad zero-day en Internet Explorer (CVE-2010-0249) y buscaba acceso a cuentas de Gmail de disidentes chinos, además de propiedad intelectual. Se atribuye a grupos vinculados al PLA.

Operation Cloud Hopper (2014-2018)

Campaña de APT10 contra proveedores de servicios gestionados (MSPs) globales. En lugar de atacar directamente a los objetivos finales, APT10 comprometió los MSPs que gestionaban la infraestructura IT de sus clientes y pivotó lateralmente. La escala real nunca se ha revelado completamente, pero las acusaciones del DOJ documentan el robo de datos de empresas en aviación, banca, telecomunicaciones, farmacéutica, biotecnología, minería y manufactura en al menos 12 países. Cloud Hopper demostró que la cadena de suministro de servicios IT es un vector estratégico de primera magnitud.

Explotación masiva de Exchange (2021)

Hafnium y otros grupos explotaron las vulnerabilidades ProxyLogon en servidores Microsoft Exchange Server antes de que estuvieran disponibles los parches. La campaña evolucionó de ataques dirigidos (enero 2021) a explotación masiva indiscriminada (febrero-marzo 2021) cuando se filtró la existencia de las vulnerabilidades. Se estima que entre 30.000 y 250.000 servidores fueron comprometidos globalmente. Múltiples grupos chinos (no solo Hafnium) explotaron las mismas vulnerabilidades, lo que sugiere coordinación o compartición de exploits dentro del ecosistema.

Espionaje de telecomunicaciones (Salt Typhoon, 2023-2024)

Salt Typhoon comprometió a al menos 9 proveedores de telecomunicaciones en EEUU, incluyendo AT&T, Verizon, T-Mobile y Lumen Technologies. El objetivo: acceder a los sistemas de intercepción legal (lawful intercept) para identificar qué objetivos de inteligencia chinos estaban siendo monitorizados por las agencias de seguridad estadounidenses. Salt Typhoon también accedió a metadatos de llamadas y mensajes de texto de funcionarios gubernamentales. El senador Mark Warner lo calificó como "el peor hackeo de telecomunicaciones en la historia de EEUU".

La reforma de 2015 y la evolución del ecosistema

En septiembre de 2015, los presidentes Obama y Xi Jinping firmaron un acuerdo bilateral comprometiéndose a no realizar ciberespionaje económico con fines de ventaja competitiva. Simultáneamente, China llevó a cabo una reforma militar masiva que reorganizó las capacidades cibernéticas del PLA bajo la nueva Fuerza de Apoyo Estratégico (SSF).

Efectos observados:

Reducción temporal del PLA: la actividad de grupos como APT1 y APT3 cayó significativamente. Varios oficiales del PLA fueron arrestados por corrupción (aunque posiblemente también por haber sido expuestos).
Ascenso del MSS: las operaciones cibernéticas se transfirieron progresivamente al MSS y sus contratistas. Esto proporcionó negación plausible (los operadores no son militares uniformados).
Mayor sofisticación: los grupos post-2015 muestran mejor OPSEC, menos errores de atribución, uso de VPS en terceros países y técnicas LOTL.
Contratistas privados: el modelo cambió de unidades militares con operadores propios a un ecosistema de empresas privadas que ejecutan operaciones bajo dirección del MSS.

La reducción post-acuerdo fue temporal. Hacia 2017-2018, el volumen de operaciones chinas había vuelto a los niveles anteriores, pero con actores diferentes (MSS en lugar de PLA) y métodos más difíciles de detectar.

Operaciones LOTL: los grupos Typhoon

La generación más reciente de APTs chinos (nomenclatura Microsoft "Typhoon") representa una evolución significativa: operaciones que minimizan o eliminan el uso de malware personalizado, confiando en herramientas legítimas del sistema operativo.

Volt Typhoon

Pre-posicionamiento en infraestructura crítica de EEUU (energía, agua, telecomunicaciones, transporte). No roba datos ni causa daño inmediato. Se infiltra y mantiene acceso latente durante años, preparando capacidad de disrupción para un potencial conflicto geopolítico. No usa malware: solo herramientas nativas de Windows (PowerShell, WMI, netsh, certutil, ntdsutil). Perfil completo en nuestro artículo dedicado a Volt Typhoon.

Salt Typhoon

Espionaje de telecomunicaciones a escala masiva. Infiltración de los sistemas de intercepción legal de operadoras estadounidenses para identificar objetivos de contrainteligencia. Combina técnicas LOTL con implantes personalizados cuando es necesario. Su objetivo no son datos comerciales sino inteligencia sobre las capacidades de vigilancia del adversario.

Flax Typhoon

Vinculado a la empresa Integrity Technology Group (contratista del MSS). Construyó una botnet de miles de dispositivos IoT (routers, cámaras, NAS) comprometidos, principalmente en Taiwan. La botnet servía como infraestructura de relay (ORB, Operational Relay Boxes) para enmascarar el origen real de las operaciones. El FBI desmanteló parte de la botnet en septiembre de 2024 mediante una operación judicial autorizada.

Contratistas y el modelo de outsourcing

Una de las transformaciones más significativas del ecosistema chino es el uso de empresas privadas como ejecutores de operaciones cibernéticas. Este modelo proporciona:

Negación plausible: los operadores no son funcionarios del gobierno ni militares.
Escalabilidad: las empresas pueden contratar hackers talentosos del mercado privado.
Flexibilidad: los contratistas pueden realizar tanto operaciones estatales como actividades comerciales.

Contratistas documentados:

Empresa	Vinculación	Grupo APT	Evidencia
Chengdu 404 Network Technology	MSS	APT41	Acusaciones DOJ 2020, 5 empleados acusados
Integrity Technology Group	MSS	Flax Typhoon	Sanción OFAC 2025, botnet IoT desmantelada
Boyusec (Guangzhou Bo Yu)	MSS Guangdong	APT3	Acusaciones DOJ 2017, cerrada tras exposición
i-Soon (Anxun Information Tech)	MSS + Policía	Múltiples	Filtración masiva febrero 2024 (GitHub leak)

La filtración de i-Soon en febrero de 2024 fue especialmente reveladora. Miles de documentos internos mostraron una empresa que ofrecía servicios de hacking por contrato al MSS, la policía china y el ejército. Los documentos revelaron precios (entre 10.000 y 800.000 USD por objetivo), herramientas de espionaje para móviles (iOS y Android), y operaciones contra al menos 20 gobiernos. La filtración confirmó lo que los investigadores sospechaban: existe un mercado formal de hacking ofensivo donde las agencias chinas son clientes.

Detección de TTPs chinos

Indicadores de comportamiento

Temporales:

Actividad concentrada en horario laboral Beijing (00:00-09:00 UTC, lunes a viernes).
Caídas durante festividades chinas (Año Nuevo Chino, Semana Dorada de octubre, Festival del Medio Otoño).

Técnicos:

DLL sideloading con binarios legítimos firmados (especialmente de software asiático).
Uso de China Chopper, ShadowPad o PlugX (o variantes reconocibles).
Infraestructura C2 en VPS de proveedores como Vultr, DigitalOcean, Choopa.
Tunneling DNS o HTTP con patrones de beaconing regulares.
Explotación de appliances de perímetro (VPN, firewalls, Exchange) como vector de acceso inicial.

Operacionales:

Recolección masiva de datos con compresión RAR/7z antes de exfiltración.
Uso de cuentas de administrador de dominio para lateral movement.
Modificación de reglas de firewall para crear túneles persistentes.
Abuso de scheduled tasks para persistencia.

Reglas de detección prioritarias

# SIGMA: DLL Sideloading via binario legítimo (patrón PlugX/ShadowPad)
detection:
  selection:
    EventType: ImageLoad
    Image|endswith:
      - '\rundll32.exe'
      - '\regsvr32.exe'
    ImageLoaded|contains:
      - '\AppData\Roaming\'
      - '\ProgramData\'
      - '\Users\Public\'
  filter:
    ImageLoaded|endswith:
      - '.dll'
    Signed: 'true'
  condition: selection and not filter

# SIGMA: China Chopper webshell indicators
detection:
  selection_web:
    cs-uri-query|contains:
      - 'z1=REDACTED'
      - 'z2=REDACTED'
    cs-method: 'POST'
  selection_size:
    sc-bytes|gte: 0
    cs-bytes|lte: 5000
  condition: selection_web and selection_size

Herramientas de caza recomendadas

YARA: reglas para detectar variantes de PlugX, ShadowPad y China Chopper en memoria y disco.
Sigma/Splunk: detección de DLL sideloading patterns, scheduled tasks sospechosas y uso anómalo de herramientas administrativas.
Network monitoring: detección de beaconing patterns a intervalos regulares, DNS tunneling y conexiones a rangos IP de proveedores VPS frecuentemente usados.
EDR behavioral rules: encadenamiento sospechoso de LOLBins (certutil + bitsadmin + powershell en secuencia).

Recursos y referencias

Informes fundamentales

Mandiant APT1 Report (2013): el informe que inauguró la era de atribución pública de APTs. Disponible en mandiant.com.
Operation Cloud Hopper (PwC/BAE Systems, 2017): documentación completa de la campaña contra MSPs.
CISA Advisory AA24-038A (2024): Volt Typhoon y pre-posicionamiento en infraestructura crítica.
CISA Advisory AA24-329A (2024): Salt Typhoon y compromisos de telecomunicaciones.
i-Soon Leak Analysis (múltiples fuentes, 2024): análisis del ecosistema de contratistas chinos.

Frameworks de referencia

MITRE ATT&CK Groups: fichas actualizadas de cada grupo con TTPs mapeados (attack.mitre.org/groups/).
Microsoft Threat Intelligence: nomenclatura Typhoon y perfiles actualizados (microsoft.com/security/blog/).
Malpedia: repositorio de perfiles de malware con variantes de herramientas chinas (malpedia.caad.fkie.fraunhofer.de).

Bases de datos de IOCs

MalwareIntel: plataforma de inteligencia con IOCs, familias y actores actualizados diariamente.
MISP feeds: eventos y atributos compartidos por la comunidad CTI global.
OTX AlienVault: pulsos de la comunidad con IOCs de campañas chinas documentadas.
ThreatFox (abuse.ch): IOCs de C2 asociados a familias como PlugX, ShadowPad y Cobalt Strike.

El ecosistema de ciberespionaje chino es el más complejo y masivo del mundo. Su evolución (del PLA militar al MSS con contratistas, de malware personalizado a living-off-the-land) refleja un adversario que aprende y se adapta. Para los defensores, esto exige un enfoque que vaya más allá de IOCs estáticos: detección basada en comportamiento, comprensión de las motivaciones geopolíticas detrás de cada campaña, y vigilancia continua de las técnicas compartidas que conectan a todos estos grupos.