Cloudflare se está convirtiendo en una plataforma sigilosa para el ciberespionaje

Por qué los servicios de Cloudflare resultan atractivos para los atacantes

Cloudflare opera una enorme plataforma global que ofrece almacenamiento, computación serverless, alojamiento web y servicios de túneles seguros. Estas capacidades ayudan a millones de desarrolladores, pero también pueden ser aprovechadas por actores maliciosos para ocultar su infraestructura.

Distintos informes de seguridad muestran que algunos servicios de Cloudflare aparecen repetidamente en campañas maliciosas porque su tráfico se mezcla fácilmente con actividad legítima en la nube.

R2 Storage: exfiltración de datos oculta

Cloudflare R2 es un sistema de almacenamiento de objetos similar a Amazon S3. Los atacantes pueden utilizarlo para:

• Subir archivos robados desde redes comprometidas
• Almacenar cargas de malware
• Distribuir archivos a través de dominios confiables de Cloudflare

En el caso investigado en Malasia, los investigadores observaron un script específicamente diseñado para subir datos robados a almacenamiento alojado en Cloudflare.

Cloudflare Pages: infraestructura para phishing

Cloudflare Pages permite desplegar sitios web estáticos rápidamente. Los atacantes pueden usarlo para crear portales de phishing o páginas falsas de descarga de documentos que aparentan ser sitios legítimos alojados en una infraestructura confiable.

Cloudflare Workers: relés de comando y control en el edge

Workers permite ejecutar código serverless en la red edge de Cloudflare. Los actores de amenazas pueden utilizarlo para:

• Redirigir víctimas a páginas de phishing
• Actuar como intermediarios de tráfico de comando‑y‑control
• Enrutar dinámicamente comunicaciones maliciosas

Investigadores han documentado casos en los que infraestructura de troyanos de acceso remoto operaba a través de cuentas de Cloudflare Workers, lo que demuestra que canales completos de C2 pueden ejecutarse dentro de un servicio legítimo de nube.

Cloudflare Tunnels: ocultar servidores de origen

Cloudflare Tunnel permite exponer servidores internos a Internet sin revelar su dirección IP real. Esto facilita que los atacantes oculten su infraestructura detrás de Cloudflare mientras siguen distribuyendo malware o cargas maliciosas.

Varias campañas ya han abusado de subdominios de Cloudflare Tunnel para alojar payloads que se distribuyen mediante correos de phishing o cadenas de infección automatizadas.

Un patrón más amplio de ciberespionaje en el sudeste asiático

El incidente en Malasia encaja dentro de una tendencia regional más amplia: grupos de espionaje que operan en el sudeste asiático utilizan cada vez más plataformas legítimas de nube para ocultar sus operaciones.

El rápido crecimiento de la infraestructura digital en Malasia —especialmente en sectores como telecomunicaciones, transporte y energía— ha ampliado la superficie de ataque del país y aumentado su valor estratégico para operaciones de inteligencia.

Varios grupos APT (amenazas persistentes avanzadas) activos en la región utilizan tácticas similares.

Mustang Panda

Mustang Panda es un actor de ciberespionaje con base en China activo al menos desde 2012. El grupo suele utilizar correos de phishing y documentos señuelo diseñados específicamente para comprometer organizaciones gubernamentales y diplomáticas.

APT41

APT41 es considerado por investigadores como un grupo de amenazas patrocinado por el Estado chino que ha llevado a cabo campañas de espionaje en múltiples sectores y países utilizando una amplia variedad de herramientas y malware personalizados.

Amaranth‑Dragon

Campañas más recientes en el sudeste asiático se han atribuido a un actor denominado Amaranth‑Dragon. Investigadores consideran que mantiene fuertes vínculos con el ecosistema de APT41 y ha atacado organismos gubernamentales y fuerzas de seguridad en varios países de la ASEAN.

Aunque la actividad relacionada con Cloudflare observada en Malasia no ha sido atribuida públicamente a un grupo específico, su patrón operativo —herramientas personalizadas, objetivos regionales y uso de infraestructura encubierta— coincide con las tácticas típicas de actores de espionaje alineados con estados.

Por qué resulta tan difícil detectarlo

El principal problema para los defensores es que el tráfico generado por estos ataques puede parecer completamente legítimo.

Una solicitud de red dirigida a almacenamiento de Cloudflare o a un endpoint serverless puede ser indistinguible del tráfico web cifrado habitual. Además, bloquear completamente servicios como Cloudflare suele ser inviable, ya que muchas organizaciones dependen de ellos para su propia operación.

Por eso, los equipos de seguridad cada vez dependen más de detección basada en comportamiento en lugar de reputación de dominio.

Entre las señales que pueden indicar actividad sospechosa se encuentran:

• Subidas inesperadas de datos a endpoints de almacenamiento de Cloudflare
• Subdominios de Cloudflare recién observados contactados por servidores internos
• Grandes solicitudes HTTPS POST después de la creación de archivos comprimidos
• Sistemas que rara vez acceden a Internet comunicándose con servicios de nube
• Tráfico hacia Cloudflare correlacionado con extracción de credenciales, acceso a bases de datos o actividad administrativa remota

La lección de seguridad más importante

La campaña de espionaje observada en Malasia refleja un cambio importante en la estrategia de infraestructura de los atacantes. En lugar de operar servidores claramente maliciosos, los actores de amenazas ahora se "esconden" dentro de ecosistemas de nube ampliamente confiables.

Para los defensores, esto significa que los controles de seguridad deben evolucionar. No basta con listas de permitidos o reputación de dominios: es necesario analizar identidades, comportamientos y movimientos de datos dentro de los servicios de nube.

Cuando la infraestructura maliciosa se esconde dentro de plataformas globales de confianza, detectar al atacante depende menos de a dónde va el tráfico y mucho más de cómo se comporta ese tráfico.