La compañía de ciberseguridad Proofpoint ha alertado sobre una nueva campaña de ciberespionaje llevada a cabo por el grupo TA415 (APT41), vinculado a China, que ha aprovechado la tensión en las relaciones económicas y comerciales con Estados Unidos para atacar a organismos gubernamentales, académicos y think tanks norteamericanos.
Según el informe, los atacantes suplantaron la identidad de organizaciones y figuras políticas de confianza, entre ellas un alto cargo del Partido Comunista Chino, con el fin de engañar a sus víctimas mediante correos electrónicos de phishing. Entre julio y agosto, el grupo desplegó una cadena de infección que trataba de establecer un túnel remoto de Visual Studio (VS Code), logrando acceso persistente sin necesidad de usar malware tradicional.
Los investigadores de Proofpoint destacan que TA415 utilizó servicios legítimos como Google Sheets, Google Calendar y VS Code Remote Tunnels para ocultar sus actividades y camuflar el tráfico malicioso entre comunicaciones habituales. En campañas anteriores, este grupo ya había empleado técnicas similares, como la distribución de malware Voldemort, aunque en esta ocasión recurrió a un loader de Python ofuscado, identificado como WhirlCoil, para entregar los túneles remotos. Los objetivos principales pertenecían a sectores estratégicos como el aeroespacial, químico, asegurador y de fabricación.
El equipo de Proofpoint advierte de que este tipo de operaciones explotan la confianza y credibilidad de identidades públicas para distribuir enlaces a archivos protegidos con contraseña en servicios en la nube.
El Gobierno de Estados Unidos ya había señalado a Chengdu 404 Network Technology, empresa con sede en Chengdu, como la fachada bajo la que opera TA415. Este contratista privado mantiene lazos con otros actores del ecosistema de ciberespionaje chino y, según las acusaciones, colabora con el servicio de inteligencia civil extranjero de China.
Proofpoint asegura que la atribución a TA415 se sustenta en múltiples coincidencias con su infraestructura, técnicas y patrones de ataque, todos ellos alineados con los intereses estratégicos del Estado chino. “El giro hacia estos objetivos en un contexto de tensiones geopolíticas demuestra la capacidad de adaptación del grupo y su estrecha relación con las prioridades de la inteligencia china”, concluyen los expertos.
