El grupo de ciberespionaje TA397, vinculado presuntamente al servicio de inteligencia de India, ha intensificado su actividad durante los últimos meses, según ha revelado un informe del equipo de investigación de amenazas de Proofpoint. Esta organización maliciosa ha sido responsable de una serie de campañas dirigidas principalmente a gobiernos, entidades diplomáticas y organizaciones de defensa del sur de Asia, en las que busca obtener información clave sobre política exterior y asuntos geoestratégicos.
Las investigaciones de Proofpoint, que abarcan el periodo comprendido entre octubre de 2024 y abril de 2025, revelan que TA397 ha utilizado múltiples cuentas de correo electrónico, incluidas cuentas comprometidas de gobiernos de Pakistán, Bangladesh y Madagascar, para llevar a cabo sus operaciones encubiertas. En otros casos, el grupo ha suplantado a entidades oficiales como el Ministerio de Asuntos Exteriores de Corea del Sur, la Oficina de Asuntos Exteriores en Pekín o incluso agencias del Gobierno chino, con el fin de ganar credibilidad ante los destinatarios de sus ataques.
A pesar de que TA397 carece de técnicas de phishing sofisticadas comparado con otros grupos respaldados por Estados, su enfoque sigue siendo persistente y específico. Sus correos de spearphishing suelen contener simples mensajes en texto plano, con enlaces o archivos adjuntos maliciosos, y simulan proceder de organizaciones gubernamentales legítimas. Este método, aunque rudimentario, sigue siendo efectivo y constituye su principal vector de acceso inicial.
En diciembre de 2024, TA397 demostró su capacidad de adaptación al aprovechar un contexto político real, como la instauración de la ley marcial en Corea del Sur, para lanzar campañas que explotaban esa situación de actualidad como gancho de ingeniería social.
Además, el grupo ha mostrado cierto grado de evolución técnica. A finales de 2024, Proofpoint identificó el uso de archivos Microsoft Search Connector (MSC), normalmente empleados para conectarse con datos en servicios web, como parte de una nueva táctica. Estos archivos fueron utilizados para desplegar archivos LNK maliciosos que permitían la ejecución remota de tareas programadas en las máquinas víctimas.
Una vez comprometido el sistema, TA397 utiliza comandos manuales para recopilar información del equipo infectado. Según el informe, el grupo evita desplegar cargas adicionales si la máquina comprometida no cumple ciertos criterios predefinidos, lo que sugiere un proceso de filtrado basado en el nombre del ordenador y el perfil del usuario. Esta estrategia revela una selección muy específica de objetivos, característica común en operaciones de ciberespionaje dirigido.
Proofpoint también ha detectado huellas digitales claras en las operaciones de TA397, como patrones específicos en URLs PHP, inclusión de nombres de usuario y equipos en las balizas de comunicación, y el uso de certificados Let’s Encrypt en los servidores de los atacantes. Estos indicadores permiten a los expertos en ciberseguridad atribuir con alta confianza la actividad al grupo.
Los analistas de Proofpoint advierten que, si bien TA397 no emplea técnicas de última generación, su actividad es constante, frecuente y está bien alineada con intereses estratégicos del Estado indio. Además, hay indicios de que el grupo comparte herramientas y tácticas con otros actores conocidos, como Mysterious Elephant/APT-K-47 y Confucius, lo que apunta a un posible ecosistema de cooperación entre grupos ciberespía vinculados a India.
“Puede que TA397 carezca de capacidades avanzadas, pero ejecuta campañas frecuentes y coherentes. Aunque utiliza métodos probados, también experimenta con nuevas tácticas para evadir detecciones o explotar vulnerabilidades”, señalan desde Proofpoint.
A medida que aumenta la tensión geopolítica en Asia, se prevé que este tipo de ciberoperaciones encubiertas continúen creciendo en número y sofisticación. Para las organizaciones gubernamentales y entidades sensibles, reforzar la vigilancia y la protección frente al spearphishing sigue siendo una prioridad urgente.
