Qué es APT-15 y qué se sabe del hackeo al Minex por grupos de espionaje con sede en China
EE. UU. atribuye el hackeo al Minex a un grupo con sede en China. Identificó también la amenaza de APT-15, un grupo de espionaje cibernético que se vincula a intrusiones en organizaciones gubernamentales.
Estados Unidos reveló que un ciberataque al Ministerio de Relaciones Exteriores de Guatemala (Minex), estaría atribuido a un grupo con sede en China. (Foto Prensa Libre: Hemeroteca)
Foto:
Guatemala fue blanco de un ciberataque contra el Ministerio de Relaciones Exteriores (Minex), según lo confirmó la Embajada de Estados Unidos en el país, y aunque las autoridades no lo dijeron directamente, EE. UU. vincula el caso con una red de espionaje con sede en China.
Una revisión conjunta entre Guatemala y el Comando Sur del ejército estadounidense identificó en los sistemas del gobierno una amenaza persistente avanzada (APT, en inglés), específicamente APT-15, también conocida como Vixen Panda, Nickel o Nylon Typhoon.
Este grupo ha sido asociado por agencias internacionales a campañas de ciberespionaje contra ministerios de relaciones exteriores en Centroamérica y Sudamérica. El ataque al Minex no sería un caso aislado.
Aunque el ciberataque ocurrió en 2022, el caso resurgió tras una publicación de la Embajada de Estados Unidos en Guatemala, el 29 de abril de 2025.
Una revisión conjunta de ciberseguridad entre @GuatemalaGob y @Southcom, identificó que todo el sistema informático del @MinexGt fue hackeado por grupos de espionaje cibernético con sede en la República Popular de China. Por medio de este esfuerzo de colaboración, EE.UU. reafirma… pic.twitter.com/4EHTYeEj5Q
— US Embassy Guatemala (@usembassyguate) April 29, 2025
¿Qué es APT-15 y cuál podría ser su alcance?
APT-15 es un grupo de ciberespionaje vinculado por varios países a intereses del Estado chino.
APT15, también conocido como Nylon Typhoon, es un grupo de ciberespionaje vinculado a China que representa una amenaza para sectores clave como comercio, finanzas y defensa, según Microsoft y Hedge Hog
Desde finales de 2022 hasta principios de 2023 llevó a cabo una campaña de intrusión dirigida principalmente a ministerios de Relaciones Exteriores de América Latina.
Su objetivo fue extraer documentos internos, datos de inteligencia diplomática y acceder a cuentas institucionales, según una publicación de Security.com de mediados del 2023.
APT-15 no solo roba datos, sino que adapta sus técnicas a cada país y mantiene presencia en redes vulneradas durante meses, lo que plantea una amenaza estratégica, según describen sitios especializados.
Opera con una estrategia sigilosa y de largo plazo, buscando permanecer el mayor tiempo posible dentro de las redes gubernamentales sin ser detectado.
Para lograrlo, utiliza herramientas como un programa malicioso llamado “Graphican”, que se aprovecha de plataformas legítimas como Microsoft Graph y OneDrive, simulando un uso normal del sistema para evadir los controles de seguridad.
Posible alcance de la intrusión
Aunque ni Guatemala ni EE. UU. precisaron cuándo ocurrió la intrusión, en octubre de 2022 el Minex admitió públicamente un ciberataque que dejó inoperativos varios de sus servicios digitales.
En su momento, estas fueron las acciones confirmadas en el Minex, según publicaciones propias de Prensa Libre y el sitio Bloomberg :
- Interrupción de servicios digitales: el ataque provocó la suspensión temporal de varios servicios en línea del Minex, afectando la atención a guatemaltecos en el extranjero.
- Aparente sustracción de datos: el grupo Onix, atribuido al ataque en 2022, aseguró haber descargado 3.7 terabytes de información del Minex en un periodo de cuatro semanas.
- Filtración de documentos sensibles: el grupo atacante publicó información sustraída de los servidores del Minex, incluyendo apostillas emitidas en consulados entre 2021 y 2022, con datos personales como nombres, apellidos, firmas y códigos QR. También se filtraron documentos relacionados con candidaturas a organismos internacionales y asistencia consular a privados de libertad.
- Compromiso de información adicional: se reportó la exposición de más de 52 documentos que contenían información sobre guatemaltecos temporales en Estados Unidos, hospitalizados, privados de libertad y listados de menores no acompañados en 2021. También se incluyeron datos sobre repatriaciones, asuntos contables, listas de abogados, boletines informativos y estadísticas.
El Minex reservó toda la información oficial sobre el ciberataque en ese momento, sin revelar detalles técnicos ni confirmar a los actores detrás de la intrusión.
¿Está Guatemala en esa lista de objetivos?
La nueva evaluación estadounidense sugiere que APT-15 habría estado presente en las redes del gobierno guatemalteco como parte de una campaña regional.
Esto no significa que Onix y APT-15 sean el mismo grupo, pero sí que el sistema informático del Minex habría sido vulnerado “por grupos de espionaje cibernético con sede en la República Popular de China”, según Estados Unidos.
La mención de APT-15 por parte del Comando Sur y el Departamento de Defensa de Estados Unidos no se refiere explícitamente a una operación prolongada, pero sí permite contextualizar el hackeo.
En su comunicado, las autoridades estadounidenses indicaron que se identificó la presencia de una amenaza persistente avanzada (APT), conocida como APT-15 —también llamada Vixen Panda, Nickel o Nylon Typhoon—, asociada con China y vinculada a intrusiones en organismos gubernamentales a nivel global, con énfasis en países de Centroamérica y Sudamérica.
EE. UU. atribuye el hackeo al Minex a un grupo con sede en China. Identificó también la amenaza de APT-15, un grupo de espionaje cibernético que se vincula a intrusiones en organizaciones gubernamentales.
Qué es APT-15 y qué se sabe del hackeo al Minex por grupos de espionaje con sede en China
EE. UU. atribuye el hackeo al Minex a un grupo con sede en China. Identificó también la amenaza de APT-15, un grupo de espionaje cibernético que se vincula a intrusiones en organizaciones gubernamentales.
|
16:58h
Estados Unidos reveló que un ciberataque al Ministerio de Relaciones Exteriores de Guatemala (Minex), estaría atribuido a un grupo con sede en China. (Foto Prensa Libre: Hemeroteca)
Guatemala fue blanco de un ciberataque contra el Ministerio de Relaciones Exteriores (Minex), según lo confirmó la Embajada de Estados Unidos en el país, y aunque las autoridades no lo dijeron directamente, EE. UU. vincula el caso con una red de espionaje con sede en China.
Una revisión conjunta entre Guatemala y el Comando Sur del ejército estadounidense identificó en los sistemas del gobierno una amenaza persistente avanzada (APT, en inglés), específicamente APT-15, también conocida como Vixen Panda, Nickel o Nylon Typhoon.
Este grupo ha sido asociado por agencias internacionales a campañas de ciberespionaje contra ministerios de relaciones exteriores en Centroamérica y Sudamérica. El ataque al Minex no sería un caso aislado.
Aunque el ciberataque ocurrió en 2022, el caso resurgió tras una publicación de la Embajada de Estados Unidos en Guatemala, el 29 de abril de 2025.
Una revisión conjunta de ciberseguridad entre @GuatemalaGob y @Southcom, identificó que todo el sistema informático del @MinexGt fue hackeado por grupos de espionaje cibernético con sede en la República Popular de China. Por medio de este esfuerzo de colaboración, EE.UU. reafirma… pic.twitter.com/4EHTYeEj5Q
— US Embassy Guatemala (@usembassyguate)
¿Qué es APT-15 y cuál podría ser su alcance?
APT-15 es un grupo de ciberespionaje vinculado por varios países a intereses del Estado chino.
APT15, también conocido como Nylon Typhoon, es un grupo de ciberespionaje vinculado a China que representa una amenaza para sectores clave como comercio, finanzas y defensa, según Microsoft y Hedge Hog
Desde finales de 2022 hasta principios de 2023 llevó a cabo una campaña de intrusión dirigida principalmente a ministerios de Relaciones Exteriores de América Latina.
Su objetivo fue extraer documentos internos, datos de inteligencia diplomática y acceder a cuentas institucionales, según una publicación de Security.com de mediados del 2023.
APT-15 no solo roba datos, sino que adapta sus técnicas a cada país y mantiene presencia en redes vulneradas durante meses, lo que plantea una amenaza estratégica, según describen sitios especializados.
Opera con una estrategia sigilosa y de largo plazo, buscando permanecer el mayor tiempo posible dentro de las redes gubernamentales sin ser detectado.
Para lograrlo, utiliza herramientas como un programa malicioso llamado “Graphican”, que se aprovecha de plataformas legítimas como Microsoft Graph y OneDrive, simulando un uso normal del sistema para evadir los controles de seguridad.
Posible alcance de la intrusión
Aunque ni Guatemala ni EE. UU. precisaron cuándo ocurrió la intrusión, en octubre de 2022 el Minex admitió públicamente un ciberataque que dejó inoperativos varios de sus servicios digitales.
En su momento, estas fueron las acciones confirmadas en el Minex, según publicaciones propias de Prensa Libre y el sitio Bloomberg :
- Interrupción de servicios digitales: el ataque provocó la suspensión temporal de varios servicios en línea del Minex, afectando la atención a guatemaltecos en el extranjero.
- Aparente sustracción de datos: el grupo Onix, atribuido al ataque en 2022, aseguró haber descargado 3.7 terabytes de información del Minex en un periodo de cuatro semanas.
- Filtración de documentos sensibles: el grupo atacante publicó información sustraída de los servidores del Minex, incluyendo apostillas emitidas en consulados entre 2021 y 2022, con datos personales como nombres, apellidos, firmas y códigos QR. También se filtraron documentos relacionados con candidaturas a organismos internacionales y asistencia consular a privados de libertad.
- Compromiso de información adicional: se reportó la exposición de más de 52 documentos que contenían información sobre guatemaltecos temporales en Estados Unidos, hospitalizados, privados de libertad y listados de menores no acompañados en 2021. También se incluyeron datos sobre repatriaciones, asuntos contables, listas de abogados, boletines informativos y estadísticas.
El Minex reservó toda la información oficial sobre el ciberataque en ese momento, sin revelar detalles técnicos ni confirmar a los actores detrás de la intrusión.
¿Está Guatemala en esa lista de objetivos?
La nueva evaluación estadounidense sugiere que APT-15 habría estado presente en las redes del gobierno guatemalteco como parte de una campaña regional.
Esto no significa que Onix y APT-15 sean el mismo grupo, pero sí que el sistema informático del Minex habría sido vulnerado “por grupos de espionaje cibernético con sede en la República Popular de China”, según Estados Unidos.
La mención de APT-15 por parte del Comando Sur y el Departamento de Defensa de Estados Unidos no se refiere explícitamente a una operación prolongada, pero sí permite contextualizar el hackeo.
En su comunicado, las autoridades estadounidenses indicaron que se identificó la presencia de una amenaza persistente avanzada (APT), conocida como APT-15 —también llamada Vixen Panda, Nickel o Nylon Typhoon—, asociada con China y vinculada a intrusiones en organismos gubernamentales a nivel global, con énfasis en países de Centroamérica y Sudamérica.
ESCRITO POR:
Sandy Pineda
Periodista de Prensa Libre especializada en política y temas sociales con 7 años de experiencia. Parte del programa International Women’s Media Foundation (IWMF) en 2019, y del proyecto Ciclos de Actualización para Periodistas (CAP) 2023.
ARCHIVADO EN:
Prensa Libre | Guatemala
