Expertos observan actividad del nexo chino contra Catar ante la expansión de las tensiones regionales

Bogotá, marzo 11 de 2026 –Desde la reciente escalada en Oriente Medio, Check Point Research ha observado una mayor actividad por parte de actores de APT con nexo chino en la región, especialmente dirigidos a Catar.

El actor de amenazas con nexo chino “Camaro Dragon” intentó implementar una variante del malware PlugX contra objetivos qataríes un día después del lanzamiento de la Operación Epic Fury y el inicio de la escalada en Oriente Medio.

Los atacantes aprovecharon la guerra en curso en Medio Oriente para hacer que sus señuelos fueran más creíbles y atractivos, demostrando la capacidad de adaptarse rápidamente a los principales acontecimientos y noticias de última hora.

El uso de cargas útiles como PlugX y Cobalt Strike demuestra una preferencia por herramientas sencillas y accesibles que favorezcan una rápida implementación inicial. El 1° de marzo, un día después del inicio de la escalada en Oriente Medio, Check Point Research comenzó a observar campañas dirigidas contra entidades en Qatar. Estas campañas se basaban en contenido relacionado con el conflicto como señuelo, con la intención de camuflarse en comunicaciones regionales legítimas y de rápida evolución.

En la primera cadena de infección identificada por Check Point Research, el actor de amenazas entregó un archivo disfrazado de fotos de ataques a bases estadounidenses en Bahréin. Cuando se ejecuta, un archivo LNK, inicia una cadena de infección inusualmente larga: contacta a un servidor comprometido para recuperar la carga útil de la siguiente etapa, y eventualmente abusa del secuestro de DLL del binario legítimo Baidu NetDisk para implementar la puerta trasera PlugX que es una puerta trasera modular asociada a múltiples actores de amenazas con nexo chino desde al menos 2008.

Cabe destacar que este vector de infección no fue exclusivo de la campaña de Qatar. Check Point Research observó el mismo método de propagación varios meses antes, a finales de diciembre, en ataques contra objetivos militares turcos.

Huelga en las instalaciones de petróleo y gas del Golfo como señuelo

En una campaña independiente, Check Point Research observó otro ataque, presumiblemente dirigido a Qatar, que utilizaba un archivo comprimido protegido con contraseña llamado «Strike at Gulf oil and gas Facilities.zip».La campaña empleó señuelos de baja calidad generados por IA que suplantaban al gobierno israelí para distribuir un cargador basado en Rust nunca antes visto. La carga útil final desplegada en esta operación fue Cobalt Strike , un conocido marco de pruebas de penetración que a menudo se reutiliza para actividades maliciosas.

Con baja confianza, este ataque se considera alineado con China. El uso del secuestro de DLL mediante componentes de NVDA, Cobalt Strike e infraestructura C2 registrados a través de Kaopu Cloud y Cloudflare coincide con las TTP previamente asociadas con actores de amenazas chinos, mientras que las marcas de tiempo del ataque proporcionan contexto adicional.

Los actores del nexo chino cambian su enfoque en Oriente Medio

La región del Golfo no ha tenido un protagonismo tan destacado en los informes públicos sobre la actividad del nexo con China como otras partes de Oriente Medio en general. Sin embargo, la actividad observada en estas campañas sugiere que los grandes acontecimientos regionales pueden redefinir rápidamente las prioridades. Inmediatamente después de la escalada en Oriente Medio, Check Point Research observó al menos dos actores de amenazas distintos que atacaban a entidades en Qatar utilizando señuelos relacionados con el conflicto, diseñados para mimetizarse con el dinámico entorno de comunicaciones de la región.

“En conjunto, estas intrusiones ponen de manifiesto la rapidez con la que los actores de espionaje con nexo con China pueden cambiar de estrategia en respuesta a los acontecimientos geopolíticos. El enfoque casi inmediato en Qatar podría reflejar no sólo la recopilación oportunista de inteligencia vinculada a la crisis regional, sino también un cambio más amplio en las prioridades de recopilación hacia un Estado que se encuentra en la intersección de varias potencias e intereses regionales y globales en pugna”, concluyó Ángel Salazar, Gerente de Canales en América Latina de Check Point.