La Unidad 61398 del PLA (también conocida como APT1 , Comment Crew , Comment Panda , GIF89a o Byzantine Candor ; chino : 61398部队, pinyin : 61398 bùduì ) es el Designador de Cobertura de Unidad Militar (MUCD) [1] de una unidad avanzada de amenaza persistente del Ejército Popular de Liberación que se alega que es una fuente de ataques de piratería informática china . [2] [3] [4] La unidad está estacionada en Pudong , Shanghái , [5] y ha sido citada por las agencias de inteligencia estadounidenses desde 2002.
Un informe de la empresa de seguridad informática Mandiant afirmó que se cree que la Unidad 61398 del EPL opera bajo el Tercer Departamento (总参三部二局) del Departamento del Estado Mayor General (GSD) de la Segunda Oficina del Ejército Popular de Liberación [1] y que hay evidencia de que contiene, o es en sí misma, una entidad que Mandiant llama APT1 , parte de la amenaza persistente avanzada que ha atacado a una amplia gama de corporaciones y entidades gubernamentales en todo el mundo desde al menos 2006. Se describe que APT1 comprende cuatro grandes redes en Shanghái, dos de las cuales sirven a la Nueva Área de Pudong. Es uno de los más de 20 grupos APT con orígenes en China. [1] [6] Se cree que el Tercer y el Cuarto Departamento , responsables de la guerra electrónica , comprenden las unidades del EPL principalmente responsables de infiltrarse y manipular las redes informáticas. [7]
El 19 de mayo de 2014, el Departamento de Justicia de los EE. UU. anunció que un gran jurado federal había presentado una acusación formal contra cinco oficiales de 61398 por cargos de robo de información comercial confidencial y propiedad intelectual de empresas comerciales estadounidenses y de plantar malware en sus computadoras. [8] [9] Los cinco son Huang Zhenyu (黄振宇), Wen Xinyu (文新宇), Sun Kailiang (孙凯亮), Gu Chunhui (顾春晖) y Wang Dong (王东). La evidencia forense rastrea la base de operaciones hasta un edificio de 12 pisos cerca de Datong Road en un área pública de uso mixto de Pudong en Shanghai. [2] El grupo también es conocido por otros nombres, entre ellos "Advanced Persistent Threat 1" ("APT1"), "the Comment group" y "Byzantine Candor", un nombre en clave dado por las agencias de inteligencia estadounidenses desde 2002. [10] [11] [12] [13]
El grupo a menudo compromete las funciones de "comentarios" del software interno en páginas web legítimas para infiltrarse en las computadoras objetivo que acceden a los sitios, lo que lo lleva a ser conocido como "The Comment Crew" o "Comment Group". [14] [15] El colectivo ha robado secretos comerciales y otra información confidencial de numerosas empresas y organizaciones extranjeras a lo largo de siete años, como Lockheed Martin , Telvent y otras empresas de los sectores naviero, aeronáutico, armamentístico, energético, manufacturero, de ingeniería, electrónico, financiero y de software. [11]
Dell SecureWorks dice que cree que el grupo incluye al mismo grupo de atacantes detrás de la Operación Shady RAT , una extensa campaña de espionaje informático descubierta en 2011 en la que más de 70 organizaciones durante un período de cinco años, incluidas las Naciones Unidas, agencias gubernamentales en los Estados Unidos, Canadá, Corea del Sur, Taiwán y Vietnam, fueron atacadas. [2]
Los ataques documentados en el verano de 2011 representan un fragmento de los ataques del grupo Comment, que se remontan al menos a 2002, según los informes de incidentes y los investigadores. En 2012, FireEye, Inc. declaró que había rastreado cientos de objetivos en los últimos tres años y estimó que el grupo había atacado a más de 1.000 organizaciones. [12]
La mayor parte de la actividad entre el malware incrustado en un sistema comprometido y los controladores del malware tiene lugar durante el horario comercial en la zona horaria de Beijing, lo que sugiere que el grupo está contratado profesionalmente, en lugar de piratas informáticos privados inspirados por pasiones patrióticas. [7]
Un informe de 2020 en Daily News and Analysis afirmó que la unidad estaba interesada en información relacionada con la defensa y la investigación en la India. [16]
Hasta 2013, el Gobierno de China ha negado sistemáticamente su participación en la piratería informática. [17] En respuesta al informe de Mandiant Corporation sobre la Unidad 61398, Hong Lei , portavoz del Ministerio de Asuntos Exteriores chino , dijo que tales acusaciones eran "poco profesionales". [17] [4]
31°20′57.43″N 121°34′24.74″E / 31.3492861°N 121.5735389°E / 31.3492861; 121.5735389