Hackers explotan servicios de Cloudflare para ocultar campañas de ciberespionaje
Investigadores detectaron campañas de ciberespionaje contra organizaciones de Malasia que utilizan servicios de Cloudflare para ocultar infraestructura maliciosa. Los atacantes emplean R2, Workers, Pages y Tunnels para alojar páginas de phishing, distribuir malware y operar sistemas de comando y control camuflados c...
How are government-backed hackers exploiting Cloudflare’s services (such as R2 storage, Pages, Workers, and Tunnels) to conduct cyber‑espionAttackers increasingly hide phishing, malware delivery, and command‑and‑control infrastructure inside trusted cloud platforms.
Prompt de IA
Create a landscape editorial hero image for this Studio Global article: How are government-backed hackers exploiting Cloudflare’s services (such as R2 storage, Pages, Workers, and Tunnels) to conduct cyber‑espion. Article summary: Government-backed or government-aligned hackers are abusing Cloudflare because its services provide cheap, reputable, TLS-protected infrastructure that often looks like normal business web traffic. In the Malaysia-focuse. Topic tags: general, government, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "# Russian state hackers abuse Cloudflare services to spy on Ukrainian targets. A Russian state-sponsored hacker group, known as Gamaredon, has been targeting Ukrainian-speaking vic" source context "Russian state hackers abuse Cloudflare services to spy on ..." Reference image 2: visual subject "**Help
openai.com
Las campañas modernas de ciberespionaje están empezando a ocultarse dentro de los mismos servicios en la nube que usan empresas y gobiernos a diario.
Investigaciones recientes muestran que atacantes dirigidos contra organizaciones en Malasia están utilizando una combinación de infraestructura en la nube confiable y servicios serverless para ejecutar operaciones encubiertas. Entre las herramientas explotadas se encuentran Cloudflare R2, Workers, Pages y Tunnels, que permiten alojar páginas de phishing, distribuir malware y mover datos robados a través de tráfico que parece completamente legítimo.
Este enfoque complica enormemente la detección, ya que muchas organizaciones no pueden simplemente bloquear grandes proveedores de nube sin afectar sus propios servicios empresariales.
La campaña en Malasia: infraestructura oculta y herramientas personalizadas
Investigadores identificaron una campaña de intrusión dirigida contra múltiples organizaciones malasias. Parte de la infraestructura de los atacantes estaba alojada en Microsoft Azure en la región Malaysia West, lo que sugiere una operación cuidadosamente planificada y localizada.
Los atacantes desarrollaron herramientas específicas en Python para cada objetivo, capaces de realizar tareas como:
Reconocimiento de redes internas
Acceso a bases de datos
Exfiltración de información confidencial
El entorno de ataque era modular y estaba diseñado para mantener acceso prolongado a las redes comprometidas. Además, partes de la cadena de ataque se ocultaban usando servicios de nube como los de Cloudflare, lo que permitía mezclar el tráfico malicioso con comunicaciones normales en internet.
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
¿Cuál es la respuesta corta a "Hackers explotan servicios de Cloudflare para ocultar campañas de ciberespionaje"?
Investigadores detectaron campañas de ciberespionaje contra organizaciones de Malasia que utilizan servicios de Cloudflare para ocultar infraestructura maliciosa.
¿Cuáles son los puntos clave a validar primero?
Investigadores detectaron campañas de ciberespionaje contra organizaciones de Malasia que utilizan servicios de Cloudflare para ocultar infraestructura maliciosa. Los atacantes emplean R2, Workers, Pages y Tunnels para alojar páginas de phishing, distribuir malware y operar sistemas de comando y control camuflados como tráfico legítimo.
¿Qué debo hacer a continuación en la práctica?
El caso refleja una tendencia creciente: actores vinculados a Estados utilizan infraestructuras de nube confiables para evadir la detección.
Cómo los atacantes abusan de los servicios de Cloudflare
La plataforma de desarrolladores de Cloudflare ofrece herramientas muy potentes para aplicaciones web legítimas. Pero esas mismas capacidades también pueden utilizarse para construir infraestructuras de ataque difíciles de detectar.
R2 Storage: alojamiento de phishing y malware
Cloudflare R2 es un servicio de almacenamiento de objetos que permite alojar archivos o sitios web estáticos. Los atacantes lo utilizan para guardar páginas de phishing o cargas de malware, ya que las descargas provienen de dominios confiables asociados a Cloudflare.
Investigadores de seguridad registraron un aumento de 61 veces en el tráfico hacia páginas de phishing alojadas en Cloudflare R2 durante un período de seis meses, lo que evidencia la rápida adopción de esta técnica por parte de los atacantes.
Entre los usos más comunes se encuentran:
Páginas falsas que imitan portales de inicio de sesión de Microsoft u otros servicios en la nube
Archivos maliciosos o instaladores infectados
Infraestructura de distribución para malware de segunda fase
Cloudflare Pages: sitios de phishing que parecen legítimos
Cloudflare Pages permite publicar sitios web estáticos en una infraestructura global. Los atacantes lo aprovechan para desplegar portales de phishing que parecen legítimos, ya que las víctimas ven páginas servidas desde la red de Cloudflare en lugar de dominios sospechosos.
Debido a que muchas empresas confían en Cloudflare como proveedor de CDN y seguridad web, bloquear estos dominios puede causar interrupciones en servicios legítimos.
Cloudflare Workers: comando y control sin servidores
Los Cloudflare Workers permiten ejecutar código JavaScript en el borde de la red de Cloudflare. Los atacantes pueden usar esta función para construir infraestructura flexible, por ejemplo:
Redireccionadores que envían víctimas a páginas de phishing
Proxies inversos que interceptan credenciales
Sistemas ligeros de comando y control (C2)
Investigaciones también muestran que Workers puede utilizarse para realizar phishing transparente, donde el atacante actúa como intermediario entre el usuario y una página real de inicio de sesión, capturando silenciosamente las credenciales introducidas por la víctima.
Cloudflare Tunnels: acceso oculto a infraestructura maliciosa
Cloudflare Tunnel permite exponer servicios detrás de un firewall a internet sin revelar la dirección real del servidor.
Los atacantes lo han aprovechado para:
Distribuir malware mediante enlaces en correos de phishing
Alojar archivos maliciosos detrás de subdominios de Cloudflare
Ocultar servidores de comando y control frente a escaneos de seguridad
Investigaciones de seguridad han documentado campañas que utilizan esta tecnología para distribuir troyanos de acceso remoto (RAT) mientras ocultan la infraestructura real del atacante.
Por qué estas técnicas son tan difíciles de detectar
La infraestructura de ataque basada en la nube ofrece varias ventajas a los grupos de espionaje.
En primer lugar, el tráfico que pasa por plataformas confiables como Cloudflare o Azure se parece mucho al tráfico legítimo de SaaS o redes CDN. Esto dificulta que las herramientas de seguridad identifiquen conexiones sospechosas sin generar numerosos falsos positivos.
En segundo lugar, los servicios serverless permiten a los atacantes modificar rápidamente su infraestructura. El código en plataformas como Workers puede cambiar redirecciones, actualizar ubicaciones de malware o reemplazar componentes de la operación casi instantáneamente.
Finalmente, el uso de múltiples proveedores de nube permite distribuir la infraestructura del ataque, complicando el análisis forense y la atribución.
¿Qué grupos podrían estar detrás?
Los informes públicos describen la campaña como consistente con tácticas de espionaje digital vinculadas a Estados, aunque la atribución exacta sigue siendo incierta.
Algunos analistas señalan similitudes con operaciones asociadas a APT41, un grupo vinculado a China conocido por campañas de espionaje y operaciones cibernéticas dirigidas a sectores como telecomunicaciones, tecnología y salud en numerosos países.
APT41 y grupos similares han utilizado anteriormente infraestructuras en la nube y redes de distribución de contenido (CDN) para ocultar servidores de comando y control o infraestructura operativa.
Sin embargo, hasta ahora no existe una atribución confirmada que vincule directamente esta campaña en Malasia con APT41, Mustang Panda o Amaranth‑Dragon.
Por qué Malasia se está convirtiendo en un objetivo estratégico
El rápido crecimiento del sector digital malasio está atrayendo cada vez más la atención de actores de espionaje.
El país ha impulsado inversiones masivas en áreas como inteligencia artificial, centros de datos, computación en la nube y análisis de datos. Las inversiones digitales aprobadas alcanzaron RM163.6 mil millones en 2024 y RM87.4 mil millones en 2025, reflejando su creciente papel como hub tecnológico regional en el sudeste asiático.
Este desarrollo genera objetivos de alto valor para operaciones de espionaje, entre ellos:
Credenciales de acceso a servicios en la nube
Propiedad intelectual y código de software
Infraestructura de centros de datos
Sistemas digitales relacionados con el gobierno
Para grupos de inteligencia, comprometer organizaciones en estos sectores puede proporcionar información estratégica y ventajas económicas.
Un cambio más amplio en el ciberespionaje
El caso de Malasia refleja una tendencia cada vez más clara: los atacantes están abandonando servidores obviamente maliciosos y moviendo sus operaciones hacia infraestructuras de nube confiables.
Al incrustar partes de sus operaciones dentro de plataformas legítimas —como almacenamiento de objetos, computación sin servidores o redes CDN— los atacantes obtienen varias ventajas:
La reputación de proveedores de nube confiables
Tráfico cifrado que se mezcla con la actividad web normal
Capacidad de escalar o reemplazar infraestructura rápidamente
Para los equipos de seguridad, esto significa que bloquear dominios por reputación ya no es suficiente. Detectar estas campañas requiere analizar comportamientos anómalos, vigilar el uso inusual de servicios en la nube y monitorizar cuidadosamente los flujos de datos salientes.
A medida que las plataformas cloud continúan expandiendo sus capacidades, las mismas herramientas que impulsan aplicaciones modernas también están convirtiéndose en parte de la infraestructura del ciberespionaje moderno.
Comments
0 comments