Cómo los patriotas chinos se convirtieron en los ciberespías de élite del país

18 de julio de 2025, 11:28 a. m.

Un nuevo informe rastrea la historia de la primera ola de piratas informáticos chinos que se convirtieron en la columna vertebral del aparato de espionaje del estado.

Fotoilustración: Jacqui VanLiew; Getty Images

En el verano de 2005, Tan Dailin era un estudiante de posgrado de 20 años en la Universidad de Ciencias e Ingeniería de Sichuan cuando llamó la atención del Ejército Popular de Liberación de China.

Tan formó parte de una floreciente comunidad de hackers conocida como los Honkers: adolescentes y veinteañeros de la China de finales de los 90 y principios de los 2000 que formaron grupos como el Ejército Verde y Evil Octal y lanzaron ciberataques patrióticos contra objetivos occidentales que consideraban irrespetuosos con China. Los ataques eran poco sofisticados —principalmente desfiguraciones de sitios web y operaciones de denegación de servicio dirigidas a entidades en Estados Unidos, Taiwán y Japón—, pero los Honkers perfeccionaron sus habilidades con el tiempo, y Tan documentó sus aventuras en entradas de blog. Tras publicar sobre objetivos de hackeo en Japón, el EPL acudió en su ayuda.

Tan y sus amigos de la universidad fueron animados a participar en un concurso de hacking afiliado al EPL y obtuvieron el primer lugar. El EPL los invitó a un intenso campamento de entrenamiento de hackers de un mes de duración, y en cuestión de semanas, Tan y sus amigos ya desarrollaban herramientas de hacking, estudiaban técnicas de infiltración en redes y realizaban simulacros de ataques.

La cronología posterior de los acontecimientos no está clara, pero Tan, conocido como Wicked Rose y Withered Rose, fundó su propio grupo de hackers: Network Crack Program Hacker (NCPH). El grupo se hizo rápidamente famoso por ganar concursos de hacking y desarrollar herramientas. Crearon el rootkit GinWui, una de las primeras puertas traseras de acceso remoto desarrolladas en China, y luego, según creen los expertos, lo utilizaron junto con docenas de exploits de día cero que desarrollaron en una serie de ataques sin precedentes contra empresas y entidades gubernamentales estadounidenses durante la primavera y el verano de 2006. Lo hicieron en nombre del EPL, según Adam Kozy, quien rastreó a Tan y a otros hackers chinos durante años como exanalista del FBI y ahora dirige la consultora SinaCyber, especializada en China.

Tan reveló en línea en ese momento que él y su equipo recibían unos 250 dólares al mes por sus actividades de piratería informática, aunque no especificó quién pagaba ni qué pirateaban. El salario aumentó a 1000 dólares al mes tras su racha de piratería informática del verano, según un informe de 2007 de la antigua firma de inteligencia de amenazas VeriSign iDefense.

En algún momento, Tan cambió de equipo y comenzó a trabajar como contratista para el Ministerio de Seguridad del Estado (MSS), la agencia de inteligencia civil de China, como parte de su notorio grupo de piratería informática conocido como APT 41. Y en 2020, cuando Tan tenía 36 años, el Departamento de Justicia de Estados Unidos anunció acusaciones contra él y otros presuntos miembros de APT 41 por piratear más de 100 objetivos, incluidos sistemas del gobierno estadounidense, organizaciones de atención médica y telecomunicaciones.

El camino de Tan hacia APT 41 no es único. Es solo uno de los muchos ex Honkers que comenzaron sus carreras como hackers patrióticos autodirigidos antes de ser absorbidos por el estado en su masivo aparato de espionaje.

No se ha escrito mucho sobre los Honkers y su papel fundamental en las operaciones APT de China, más allá del testimonio que Kozy dio ante el Congreso en 2022. Pero un nuevo informe , publicado este mes por Eugenio Benincasa, investigador senior de ciberdefensa en el Centro de Estudios de Seguridad de la Universidad ETH Zúrich en Suiza, amplía el trabajo de Kozy para rastrear los primeros días de los Honkers y cómo este grupo de jóvenes hábiles se convirtió en algunos de los ciberespías más prolíficos de China.

“No se trata solo de que [Honkers] creara una cultura hacker que estaba implícitamente alineada con los objetivos de seguridad nacional”, dice Benincasa, “sino también de las relaciones personales que crearon [que] aún vemos reflejadas en las APT hoy en día”.

Primeros días

La comunidad Honker surgió principalmente cuando China se incorporó a internet en 1994, y una red que conectaba universidades y centros de investigación de todo el país para compartir conocimientos puso a los estudiantes chinos en línea antes que al resto del país. Al igual que los hackers estadounidenses, los Honkers eran autodidactas entusiastas de la tecnología que acudían en masa a foros de programación y hacking informático. Pronto formaron grupos como Xfocus, China Eagle Union y The Honker Union of China, y llegaron a ser conocidos como Red Hackers u Honkers, un nombre derivado de la palabra mandarín "hong", que significa rojo, y "heike", que significa visitante oscuro (el término chino para hacker).

Los grupos se autogobernaban con jerarquías poco definidas e incluso contaban con códigos éticos elaborados por miembros influyentes como el hacker taiwanés Lin Zhenglong (conocido por su nombre de usuario "coolfire"). Lin creía que las habilidades de hacking debían cultivarse únicamente para fortalecer las ciberdefensas (para aprender las tácticas de los hackers y así frustrarlos) y escribió un influyente manual de hacking "para concienciar sobre la importancia de la seguridad informática, no para enseñar a la gente a descifrar contraseñas".

En aquella época, no existían entornos simulados donde los hackers pudieran desarrollar sus habilidades, así que Honkers solía recurrir al hackeo de redes reales. Lin no se opuso —el hackeo no era ilegal en China, salvo contra redes gubernamentales, de defensa o de investigación científica—, pero publicó una serie de directrices éticas que aconsejaban a los hackers evitar los sistemas gubernamentales o causar daños permanentes, y restaurar los sistemas a su estado original después de que Honkers terminara de hackearlos.

Pero estas directrices pronto se desvanecieron tras una serie de incidentes relacionados con afrentas extranjeras a China. En 1998, estalló una ola de violencia en Indonesia contra la población de origen chino, y los indignados grupos Honkers respondieron con desfiguraciones coordinadas de sitios web y ataques de denegación de servicio contra objetivos del gobierno indonesio. Al año siguiente, después de que el presidente taiwanés, Lee Teng-hui, anunciara su Teoría de los Dos Estados , desafiando la doctrina de una sola China del Partido Comunista, los Honkers desfiguraron los sitios web del gobierno taiwanés con mensajes patrióticos que afirmaban la existencia de una China unificada.

En 2000, después de que los participantes de una conferencia en Japón negaran los hechos en torno a la Masacre de Nanjing, en la que se estima que 300.000 chinos fueron asesinados durante la ocupación japonesa de la ciudad en los años 30, Honkers hizo circular una lista de más de 300 sitios web gubernamentales y corporativos japoneses, junto con direcciones de correo electrónico de funcionarios japoneses, e incitó a los miembros a atacarlos.

Las llamadas ciberguerras patrióticas dieron a los Honkers una causa común que forjó una identidad única, diferente a la de los grupos de hackers occidentales, que los Honkers habían emulado hasta entonces. Mientras que los hackers occidentales se motivaban principalmente por la curiosidad, el desafío intelectual y el derecho a presumir, los Honkers se unieron en torno a su causa común para ayudar a China a "levantarse". En palabras de una promesa de la Unión del Águila de China, los Honkers se comprometieron a "anteponer los intereses de la nación china a todo lo demás".

Las guerras patrióticas pusieron a los Honkers de China en el mapa e inspiraron a más personas a unirse a ellos. La Unión Honker creció hasta alcanzar aproximadamente 80.000 miembros, y el Ejército Verde, 3.000. La mayoría eran simplemente entusiastas y aventureros, pero un subgrupo destacó por su liderazgo y habilidades de hacking. Un grupo particularmente influyente entre ellos, al que Benincasa llama los 40 Rojos, fundaría o se uniría a muchas de las principales empresas de ciberseguridad y tecnología de China y se convertiría en una pieza clave del sistema de ciberespionaje estatal.

No hay pruebas de que el gobierno dirigiera las operaciones de piratería informática patriótica, afirma Benincasa, pero su actividad se alineó con los intereses estatales y atrajo la atención del gobierno. Un contralmirante retirado del Ejército Popular de Liberación y exprofesor de la Universidad de Defensa Nacional del EPL elogió su patriotismo. El público también pareció apoyarlo. Un informe afirmó que el 84 % de los usuarios de internet en China apoyaban la piratería informática patriótica.

Pero en abril de 2001, esto empezó a cambiar después de que un caza chino colisionara con un avión de reconocimiento estadounidense en pleno vuelo frente a la costa de Hainan, lo que desencadenó un incidente internacional. La colisión causó la muerte del piloto chino y obligó al avión estadounidense a aterrizar en Hainan, donde el ejército chino confiscó la aeronave y retuvo a la tripulación durante más de una semana. El incidente avivó el sentimiento nacionalista entre los hackers estadounidenses y chinos, y ambas partes lanzaron ciberataques contra los sistemas del otro país.

El gobierno chino se preocupó por su falta de control sobre los Honkers y temió que se convirtieran en un lastre y aumentaran las tensiones. El periódico oficial del Partido Comunista Chino comparó el hackeo con "terrorismo web", y el director de la Sociedad de Internet de China emitió un comunicado a través de los medios de comunicación estatales chinos condenándolo también. El contralmirante retirado del EPL, que anteriormente elogió a los grupos, ahora advirtió que representaban una amenaza para las relaciones internacionales.

Los Honkers captaron el mensaje, pero al dejar de lado su misión patriótica, los grupos se volvieron menos cohesionados. Hubo enfrentamientos de liderazgo y desacuerdos sobre la dirección y las prioridades: algunos querían profesionalizarse y fundar empresas de ciberseguridad para defender los sistemas chinos de ataques; otros querían actuar de forma descontrolada y vender herramientas maliciosas. Los primeros se marcharon para unirse a empresas tecnológicas como Baidu, Alibaba y Huawei, o a empresas de ciberseguridad como Venustech y Topsec. Algunos se convirtieron en emprendedores y fundaron sus propias empresas de seguridad, como NSFocus y Knownsec, que se convirtieron en líderes en investigación de vulnerabilidades e inteligencia de amenazas. Sin embargo, algunos se dedicaron a la ciberdelincuencia. Y otros, como Tan, se convirtieron en hackers contratados por el EPL y el MSS o fundaron empresas que prestaban servicios a estas operaciones.

Reclutamiento Honker

Según Benincasa, el EPL y el MSS comenzaron a contratar a Honkers alrededor de 2003, pero el reclutamiento se volvió más estructurado y serio tras los ataques informáticos de 2006 atribuidos al NCPH y a Tan. El reclutamiento se expandió durante y después de los Juegos Olímpicos de Pekín de 2008, y probablemente se vio impulsado en 2009 por la aprobación de la Enmienda VII al Derecho Penal de China, que penalizó las intrusiones no autorizadas en cualquier red, así como la distribución de herramientas de piratería.

Los foros de hackers comenzaron a cerrar y algunos Honkers fueron arrestados. Se corrió la voz de que Tan estaba entre ellos. Según Kozy, Tan se enfrentaba a siete años y medio de prisión, aunque no está claro si cumplió alguna condena. Kozy cree que llegó a un acuerdo y empezó a trabajar para el MSS. En 2011, parece que lanzó una empresa de antivirus llamada Anvisoft , que podría haberle servido de fachada para su trabajo en el MSS.

Los ex Honkers Zeng Xiaoyong (envymask) y Zhou Shuai (coldface) también se convirtieron en contratistas del EPL y el MSS y trabajaron en operaciones de APT 41, APT 17 y APT 27, según Benincasa. Algunos trabajaron a través de empresas fantasma, otros a través de firmas legítimas que sirvieron de intermediarios para los servicios de inteligencia.

Topsec y Venustech fueron dos empresas presuntamente implicadas en estos esfuerzos. Topsec empleó a varios ex Honkers, incluido el fundador de la Honker Union of China, y el fundador de Topsec reconoció en una entrevista que el EPL dirigía su empresa. En 2015, Topsec estuvo vinculada a operaciones cibernéticas patrocinadas por el Estado, incluyendo la filtración de datos de Anthem Insurance en EE. UU.

A lo largo de los años, muchas herramientas utilizadas por los grupos APT chinos fueron desarrolladas por Honkers, y el EPL y el MSS las explotaron para la investigación de vulnerabilidades y el desarrollo de exploits. En 1999, Huang Xin (glacier), miembro del Ejército Verde, lanzó "Glacier", un troyano de acceso remoto. Al año siguiente, él y Yang Yong (coolc) de XFocus lanzaron X-Scan, una herramienta para escanear redes en busca de vulnerabilidades que aún utilizan los hackers en China. En 2003, dos miembros de Honker Union lanzaron HTRAN, una herramienta para ocultar la ubicación de un atacante redirigiendo su tráfico a través de servidores proxy, que ha sido utilizada por las APT chinas. Se cree que Tan y su compañero Zhou Jibing (whg), miembro del NCPH, crearon la puerta trasera PlugX en 2008, utilizada por más de 10 APT chinas. Según Benincasa, Zhou la desarrolló aún más para producir ShadowPad, utilizada por APT 41 y otras.

A lo largo de los años, filtraciones y acusaciones estadounidenses contra exfuncionarios de Honkers han expuesto sus supuestas carreras de espionaje posteriores a Honkers, así como el uso por parte de China de empresas con fines de lucro para operaciones de piratería informática estatal. Estas últimas incluyen i-Soon e Integrity Tech, ambas fundadas por exfuncionarios de Honkers.

Wu Haibo (shutdown), exmiembro del Ejército Verde y de 0x557, lanzó i-Soon en 2010. El año pasado, alguien filtró archivos internos y registros de chat de i-Soon , exponiendo el trabajo de espionaje de la compañía en nombre del MSS y el MPS. En marzo de este año, ocho empleados de i-Soon y dos oficiales del MPS fueron acusados por Estados Unidos de operaciones de piratería informática dirigidas a agencias gubernamentales estadounidenses, ministerios de Asuntos Exteriores asiáticos, disidentes y medios de comunicación.

Integrity Tech, fundada en 2010 por el ex miembro del Ejército Verde Cai Jingjing (cbird), fue sancionada por Estados Unidos este año por vínculos con ataques a infraestructura global.

Este año, Estados Unidos también acusó a los exmiembros del Ejército Verde Zhou y Wu de realizar operaciones de piratería informática estatal y sancionó a Zhou por sus vínculos con APT 27. Además de participar en piratería informática patrocinada por el Estado, supuestamente también dirigía un servicio de filtración de datos que vendía algunos de los datos robados a clientes, incluidas agencias de inteligencia.

Esto no difiere de lo que ocurrió con los hackers estadounidenses de la primera generación, quienes también se convirtieron en fundadores de empresas de ciberseguridad y fueron reclutados por la Agencia de Seguridad Nacional (NSA) y la Agencia Central de Inteligencia (CIA) o contratados por contratistas para realizar operaciones de piratería informática para operaciones estadounidenses. Sin embargo, a diferencia de Estados Unidos, las autoridades de inteligencia de toda la sociedad china han obligado a algunos ciudadanos y empresas chinas a colaborar con el estado en actividades de espionaje, señala Kozy.

“Creo que China, desde el principio, simplemente pensó: 'Podemos cooptar a los Honkers para beneficio de su Estado'”, dice Kozy. “Y como muchos de estos jóvenes ya tenían inclinaciones patrióticas, se les presionó para que sirvieran diciéndoles: 'Van a hacer muchas cosas muy buenas para el país'. Además, muchos empezaron a darse cuenta de que podían enriquecerse con ello”.

wired