Saltar al contenido

3 de abril de 2026 • Dogalyir • 6 min de lectura

TA416: El actor de amenazas chino que ataca gobiernos europeos con PlugX y phishing OAuth

TA416: El actor de amenazas chino que ataca gobiernos europeos con PlugX y phishing OAuth

TA416: El actor de amenazas chino que ataca gobiernos europeos con PlugX y phishing OAuth

Desde mediados de 2025, un actor de amenazas vinculado a China ha redirigido su atención hacia organizaciones gubernamentales y diplomáticas europeas, marcando un cambio significativo tras dos años de actividad mínima en la región. Este grupo, identificado como TA416, ha desplegado múltiples oleadas de campañas que combinan técnicas de vigilancia digital y entrega de malware, demostrando una notable capacidad de adaptación y evolución en sus métodos de ataque.

La reaparición de TA416 en Europa

TA416, también conocido por sus alias DarkPeony, RedDelta y Vertigo Panda, ha centrado sus esfuerzos en misiones diplomáticas ante la Unión Europea y la OTAN en varios países europeos. Lo que hace particularmente interesante esta campaña es la constante innovación en sus cadenas de infección, donde los atacantes han implementado diversas estrategias para evadir las defensas de seguridad tradicionales.

Los investigadores de Proofpoint han documentado cómo TA416 ha abusado de páginas de desafío Cloudflare Turnstile, manipulado redirecciones OAuth y utilizado archivos de proyecto C# como vectores de ataque. Esta flexibilidad operativa refleja un nivel de sofisticación que requiere soluciones de seguridad igualmente dinámicas y proactivas.

Técnicas de ataque innovadoras

Phishing basado en OAuth

Uno de los métodos más destacados empleados por TA416 es el abuso de aplicaciones cloud de Microsoft Entra ID para iniciar redirecciones que conducen a la descarga de archivos maliciosos. Los correos de phishing utilizados en esta campaña contienen enlaces al endpoint legítimo de autorización OAuth de Microsoft, que cuando son clickeados, redirigen a dominios controlados por los atacantes y finalmente despliegan el backdoor PlugX.

Esta técnica es particularmente efectiva porque aprovecha la confianza inherente en los servicios de Microsoft, permitiendo a los atacantes sortear muchas de las defensas anti-phishing implementadas en correos electrónicos y navegadores. Microsoft ya ha alertado sobre campañas de phishing dirigidas a organizaciones gubernamentales que emplean estos mecanismos de redirección OAuth.

Entrega mediante MSBuild

En febrero de 2026, TA416 refinó aún más su cadena de ataque comenzando a enlazar a archivos alojados en Google Drive o instancias de SharePoint comprometidas. Los archivos descargados incluyen un ejecutable legítimo de Microsoft MSBuild junto con un archivo de proyecto C# malicioso.

Cuando se ejecuta MSBuild, busca automáticamente un archivo de proyecto en el directorio actual y lo compila. En el caso de los ataques de TA416, el archivo CSPROJ actúa como un descargador que decodifica tres URLs codificadas en Base64 para obtener una tríada de DLL side-loading desde un dominio controlado por los atacantes, guardándolas en el directorio temporal del usuario y ejecutando un ejecutable legítimo para cargar PlugX.

El persistente backdoor PlugX

A lo largo de todas las intrusiones de TA416, el malware PlugX ha sido una constante, aunque los ejecutables legítimos y firmados abusados para el DLL side-loading han variado con el tiempo. Este backdoor establece un canal de comunicación cifrado con su servidor de comando y control (C2), pero no antes de realizar comprobaciones anti-análisis para evitar la detección.

PlugX acepta cinco comandos principales:

  • 0x00000002: Captura información del sistema
  • 0x00001005: Desinstala el malware
  • 0x00001007: Ajusta intervalos de beaconing y parámetros de timeout
  • 0x00003004: Descarga y ejecuta un nuevo payload (EXE, DLL o DAT)
  • 0x00007002: Abre un shell de comandos inverso

Expansión geográfica y contexto geopolítico

El regreso de TA416 al targeting de gobiernos europeos a mediados de 2025, después de dos años centrados en el sudeste asiático y Mongolia, coincide con un renovado enfoque de recolección de inteligencia contra entidades diplomáticas afiliadas a la UE y la OTAN. Además, la expansión del grupo a objetivos gubernamentales de Oriente Medio en marzo de 2026 destaca cómo la priorización de sus tareas probablemente está influenciada por puntos críticos geopolíticos y escaladas de tensión.

Esta correlación entre actividad cibernética y eventos geopolíticos subraya la importancia de comprender el contexto más amplio en el que operan estos actores de amenazas. En Dogalyir, seguimos de cerca estas tendencias para desarrollar soluciones de seguridad que anticipen y mitiguen riesgos en un panorama digital cada vez más complejo.

La evolución de las operaciones cibernéticas chinas

La revelación de estas campañas coincide con análisis de Darktrace que muestran cómo las operaciones cibernéticas de origen chino han evolucionado desde actividades estratégicamente alineadas en la década de 2010 hasta intrusiones altamente adaptativas y centradas en identidades, con la intención de establecer persistencia a largo plazo dentro de redes de infraestructura crítica.

Según una revisión de campañas de ataque entre julio de 2022 y septiembre de 2025, las organizaciones con sede en Estados Unidos representaron el 22.5% de todos los eventos globales, seguidas por Italia, España, Alemania, Tailandia, Reino Unido, Panamá, Colombia, Filipinas y Hong Kong. La mayoría de los casos (63%) involucraron la explotación de infraestructura orientada a internet para obtener acceso inicial.

En un caso notable documentado por Darktrace, el actor había comprometido completamente el entorno y establecido persistencia, solo para resurgir en el entorno más de 600 días después. Esta pausa operativa subraya tanto la profundidad de la intrusión como la intención estratégica a largo plazo del actor.

Implicaciones para la seguridad organizacional

La campaña de TA416 ilustra varios desafíos críticos para las organizaciones gubernamentales y diplomáticas:

  1. Evacuación de defensas tradicionales: El uso de técnicas como el abuso de OAuth y la entrega mediante MSBuild demuestra cómo los atacantes están encontrando formas creativas de sortear las medidas de seguridad convencionales.

  2. Persistencia y adaptabilidad: La capacidad de TA416 para mantener operaciones durante períodos prolongados y adaptar sus métodos refleja un nivel de resiliencia que requiere estrategias de defensa igualmente persistentes.

  3. Inteligencia contextual: La correlación entre la actividad cibernética y los eventos geopolíticos destaca la importancia de incorporar análisis de contexto en las estrategias de seguridad.

En el panorama actual de amenazas, donde los actores maliciosos muestran una capacidad constante para innovar y adaptarse, las organizaciones deben adoptar enfoques de seguridad que combinen tecnologías avanzadas con una comprensión profunda del contexto operativo. La integración de soluciones como las que desarrollamos en Dogalyir, que incorporan inteligencia artificial y análisis predictivo, puede proporcionar la agilidad necesaria para anticipar y responder a estas amenazas en evolución.

La protección efectiva en este entorno requiere no solo herramientas tecnológicas avanzadas, sino también procesos robustos de monitoreo, respuesta y recuperación, junto con una cultura organizacional que priorice la seguridad en todos los niveles de operación.