Underc0de - La Casa de los Informáticos

El ciberespionaje patrocinado por estados se ha convertido en una de las principales amenazas para gobiernos, organizaciones académicas y empresas de todo el mundo. Uno de los actores más activos en este terreno es TA415, un grupo de amenazas alineado con China que ha sido vinculado a las operaciones de APT41 y Brass Typhoon.

Según un análisis de Proofpoint, TA415 ha lanzado entre julio y agosto de 2025 una serie de campañas de spear-phishing altamente dirigidas contra el gobierno de Estados Unidos, think tanks y organizaciones académicas, utilizando señuelos basados en temas económicos entre EE. UU. y China.

Suplantación de instituciones y líderes políticos

Lo que distingue a estas campañas es la sofisticada suplantación de identidad utilizada por los atacantes. Los correos maliciosos imitaban a:

• El presidente del Comité Selecto de Competencia Estratégica entre Estados Unidos y el Partido Comunista Chino (PCCh).
• El Consejo Empresarial Estados Unidos-China.

Los mensajes estaban diseñados para atraer a personas con roles clave en el comercio internacional, la política económica y las relaciones bilaterales, invitándolos a supuestas sesiones informativas privadas sobre temas de Taiwán y las tensiones comerciales entre EE. UU. y China.

Técnicas de spear-phishing empleadas por TA415

Los correos se enviaban desde la dirección "uschina@zohomail[.]com" y estaban cuidadosamente elaborados para parecer auténticos. Para evadir la detección y ocultar el origen de la actividad, el grupo utilizó el servicio VPN Cloudflare WARP.

Dentro de los correos, los enlaces redirigían a archivos protegidos con contraseña alojados en Zoho WorkDrive, Dropbox y OpenDrive, lo que aumentaba la credibilidad del ataque. Estos archivos contenían:

• Un acceso directo de Windows (LNK).
• Archivos adicionales ocultos en carpetas invisibles para el usuario.

El archivo LNK actuaba como vector inicial, ejecutando un script por lotes que desplegaba un cargador malicioso de Python llamado WhirlCoil, mientras mostraba en primer plano un documento PDF señuelo para distraer a la víctima.

WhirlCoil: la pieza clave del ataque

El cargador WhirlCoil no es nuevo. Proofpoint señala que versiones anteriores descargaban componentes desde Pastebin y desde el propio sitio oficial de Python. En esta campaña, WhirlCoil fue incluido directamente en el archivo descargado, lo que reduce la exposición de la cadena de infección.

Entre sus capacidades destacan:

• Persistencia mediante la creación de tareas programadas con nombres que simulan procesos legítimos, como GoogleUpdate o MicrosoftHealthcareMonitorNode.
• Ejecución con privilegios SYSTEM si la víctima cuenta con permisos administrativos.
• Establecimiento de un túnel remoto de Visual Studio Code, utilizado como puerta trasera para control persistente.
• Recolección de datos del sistema y directorios de usuarios.

La información recopilada se envía a servicios gratuitos de registro de solicitudes como requestrepo[.]com, en forma de blobs codificados en base64 dentro de peticiones HTTP POST. Esto permite al atacante autenticar el túnel y acceder de manera remota al sistema comprometido para ejecutar comandos arbitrarios.

Objetivo: espionaje económico y político

El contexto de estas campañas coincide con las conversaciones comerciales entre Estados Unidos y China. Proofpoint señala que es altamente probable que TA415 esté respaldado por intereses estatales chinos y que su objetivo principal sea la recolección de inteligencia estratégica.

El grupo no solo busca acceso a datos gubernamentales, sino también a información generada por:

• Think tanks especializados en relaciones internacionales y comercio exterior.
• Organizaciones académicas con investigaciones relevantes para la política económica global.
• Entidades privadas vinculadas al comercio EE. UU.-China.

Este tipo de espionaje tiene como finalidad anticipar movimientos políticos y económicos, así como influir en la toma de decisiones estratégicas.

Conexión con APT41 y Brass Typhoon

Los investigadores de ciberseguridad han identificado superposiciones técnicas entre TA415 y grupos más conocidos como APT41 y Brass Typhoon (antes Bium). Estas conexiones incluyen:

• Infraestructura compartida en ataques anteriores.
• Similitudes en las herramientas de malware utilizadas.
• Patrones de ataque coincidentes con campañas anteriores atribuidas a China.

APT41 es uno de los grupos de ciberespionaje más estudiados por su capacidad para combinar operaciones patrocinadas por el Estado chino con ataques criminales para beneficio financiero, lo que sugiere que TA415 podría operar bajo un modelo híbrido similar.

Advertencia del Congreso de EE. UU.

Los hallazgos de Proofpoint se publicaron poco después de que el Comité Selecto de la Cámara de Representantes de EE. UU. sobre China emitiera una advertencia sobre una serie de campañas activas de ciberespionaje chino.

En uno de los casos mencionados, actores de amenazas se hicieron pasar por el congresista republicano John Robert Moolenaar en correos de phishing diseñados para distribuir malware de robo de información.

Esto confirma que la campaña de TA415 forma parte de una operación más amplia y en curso, con múltiples vectores de ataque dirigidos a diferentes sectores estratégicos.

En fin...

El caso de TA415 refleja la evolución del spear-phishing como herramienta de ciberespionaje patrocinado por estados. Al combinar técnicas avanzadas de ingeniería social con malware personalizado como WhirlCoil, el grupo logra infiltrarse en sistemas críticos y obtener información de alto valor estratégico.

Para organizaciones en sectores sensibles —gobierno, academia, comercio internacional—, este tipo de ataques representa una amenaza directa. Las medidas más efectivas para mitigar el riesgo incluyen:

• Autenticación multifactor en todos los accesos sensibles.
• Capacitación continua para la detección de correos sospechosos.
• Monitoreo de tráfico inusual y uso de servicios VPN desconocidos.
• Análisis de indicadores de compromiso (IoCs) asociados a TA415 y APT41.

En un entorno geopolítico marcado por tensiones crecientes, el ciberespionaje seguirá siendo un campo de batalla clave entre potencias mundiales. Y TA415 es una prueba más de que la seguridad cibernética y la seguridad nacional están cada vez más entrelazadas.

Fuente: https://thehackernews.com/