Un actor de amenazas encuadrado con China ha puesto su vistazo en el gobierno y las organizaciones diplomáticas europeas desde mediados de 2025, luego de un período de dos abriles de ataques mínimos en la región.
La campaña ha sido atribuida a TA416un especie de actividad que se superpone con DarkPeony, RedDelta, Red Lich, SmugX, UNC6384 y Vertigo Panda.
“Esta actividad TA416 incluyó múltiples oleadas de campañas de entrega de malware y errores web contra misiones diplomáticas delante la Unión Europea y la OTAN en una variedad de países europeos”, dijeron los investigadores de Proofpoint Mark Kelly y Georgi Mladenov.
“A lo holgado de este período, TA416 alteró regularmente su dependencia de infección, incluido el exceso de las páginas de desafío de Cloudflare Turnstile, el exceso de redireccionamientos OAuth y el uso de archivos de tesina C#, encima de desempolvar con frecuencia su carga útil personalizada de PlugX”.
Asimismo se ha observado que TA416 comparsa múltiples campañas dirigidas a entidades diplomáticas y gubernamentales en el Medio Oriente luego del estallido del conflicto entre Estados Unidos, Israel e Irán a fines de febrero de 2026. Es probable que el esfuerzo sea un intento de compilar inteligencia regional relacionada con el conflicto, agregó la compañía de seguridad empresarial.
Vale la pena mencionar aquí que TA416 incluso comparte superposiciones técnicas históricas con otro especie conocido como Mustang Panda (incluso conocido como CerenaKeeper, Red Ishtar y UNK_SteadySplit). Los dos grupos de actividades se rastrean colectivamente bajo los apodos Earth Preta, Hive0154, HoneyMyte, Stately Taurus, Temp.HEX y Twill Typhoon.
Si acertadamente los ataques de TA416 se caracterizan por el uso de variantes PlugX personalizadas, el clúster Mustang Panda ha implementado repetidamente herramientas como TONESHELL, PUBLOAD y COOLCLIENT en ataques recientes. Lo que tienen en global los dos es el uso de carga colateral de DLL para iniciar el malware.
El renovado enfoque de TA416 en entidades europeas está impulsado por una combinación de campañas de entrega de malware y errores web, en las que los actores de amenazas utilizan cuentas de remitente de correo de balde para realizar reconocimientos e implementar la puerta trasera PlugX a través de archivos maliciosos alojados en Microsoft Azure Blob Storage, Google Drive, dominios bajo su control e instancias comprometidas de SharePoint. Las campañas de malware PlugX fueron documentadas previamente por StrikeReady y Arctic Wolf en octubre de 2025.
“Un error web (o píxel de seguimiento) es un pequeño objeto invisible incrustado en un correo electrónico que activa una solicitud HTTP a un servidor remoto cuando se abre, revelando la dirección IP del destinatario, el agente de legatario y el tiempo de ataque, lo que permite al actor de amenazas evaluar si el correo electrónico fue libre por el objetivo previsto”, dijo Proofpoint.
Se descubrió que los ataques llevados a agarradera por TA416 en diciembre de 2025 aprovechaban las aplicaciones en la montón Microsoft Entra ID de terceros para iniciar redireccionamientos que conducen a la descarga de archivos maliciosos. Los correos electrónicos de phishing utilizados como parte de esta ola de ataques contienen un enlace al punto final de autorización OAuth razonable de Microsoft que, cuando se hace clic, redirige al legatario al dominio controlado por el atacante y, en última instancia, implementa PlugX.
El uso de esta técnica no ha pasado desapercibido para Microsoft, que el mes pasado advirtió sobre campañas de phishing dirigidas a organizaciones gubernamentales y del sector manifiesto que emplean mecanismos de redireccionamiento de URL OAuth para eludir las defensas de phishing convencionales implementadas en el correo electrónico y los navegadores.
En febrero de 2026 se observaron más mejoras en la dependencia de ataque, cuando TA416 comenzó a vincularse a archivos alojados en Google Drive o una instancia comprometida de SharePoint. Los archivos descargados, en este caso, incluyen un ejecutable razonable de Microsoft MSBuild y un archivo de tesina C# astuto.
“Cuando se ejecuta el ejecutable de MSBuild, averiguación en el directorio coetáneo un archivo de tesina y lo compila automáticamente”, dijeron los investigadores. “En la actividad TA416 observada, el archivo CSPROJ actúa como un descargador, decodificando tres URL codificadas en Base64 para recuperar una tríada de carga colateral de DLL de un dominio controlado por TA416, guardándolas en el directorio temporal del legatario y ejecutando un ejecutable razonable para cargar PlugX a través de la dependencia de carga colateral de DLL típica del especie”.
El malware PlugX sigue teniendo una presencia constante durante las intrusiones de TA416, aunque los ejecutables legítimos y firmados de los que se abusa para la carga colateral de DLL han variado con el tiempo. Asimismo se sabe que la puerta trasera establece un canal de comunicación oculto con su servidor de comando y control (C2), no sin ayer realizar comprobaciones antianálisis para evitar la detección.
PlugX acepta cinco comandos diferentes:
- 0x00000002para capturar información del sistema
- 0x00001005para desinstalar el malware
- 0x00001007para ajustar el intervalo de balizas y el parámetro de tiempo de demora
- 0x00003004para descargar una nueva carga útil (EXE, DLL o DAT) y ejecutarla
- 0x00007002para destapar un shell de comando inverso
“El cambio de TA416 a centrarse nuevamente en el gobierno europeo a mediados de 2025, posteriormente de dos abriles de centrarse en el Sudeste Oriental y Mongolia, es consistente con un renovado enfoque de resumen de inteligencia contra entidades diplomáticas afiliadas a la UE y la OTAN”, dijo Proofpoint.
“Encima, la expansión de TA416 al gobierno de Medio Oriente en marzo de 2026 resalta aún más cómo la priorización de tareas del especie probablemente se ve influenciada por puntos de inflamación y escaladas geopolíticas. A lo holgado de este período, el especie ha mostrado su voluntad de iterar en las cadenas de infección, pasando por el uso de páginas falsas de Cloudflare Turnstile, exceso de redireccionamiento de OAuth y entrega basada en MSBuild, mientras continúa actualizando su puerta trasera PlugX personalizada”.
La revelación se produce cuando Darktrace reveló que las operaciones cibernéticas del enlace chino han evolucionado desde una actividad estratégicamente alineada en la período de 2010 hasta intrusiones en gran medida adaptables y centradas en la identidad con la intención de establecer una persistencia a holgado plazo adentro de las redes de infraestructura crítica.
Según una revisión de las campañas de ataque entre julio de 2022 y septiembre de 2025, las organizaciones con sede en EE. UU. representaron el 22,5 % de todos los eventos globales, seguidas por Italia, España, Alemania, Tailandia, el Reino Unido, Panamá, Colombia, Filipinas y Hong Kong. La mayoría de los casos (63%) involucraron la explotación de la infraestructura de Internet (por ejemplo, CVE-2025-31324 y CVE-2025-0994) para obtener ataque auténtico.
“En un caso sobresaliente, el actor había comprometido completamente el medio circunstancia y había establecido persistencia, sólo para resurgir en el medio circunstancia más de 600 días posteriormente”, dijo Darktrace. “La pausa operativa subraya tanto la profundidad de la intrusión como la intención estratégica a holgado plazo del actor”.
