La compañía de ciberseguridad y cumplimiento normativo Proofpoint ha alertado sobre la expansión internacional de TA4922, un sofisticado grupo de ciberdelincuentes de origen chino que ha incrementado notablemente su actividad en Europa mediante campañas dirigidas de phishing, fraude financiero y distribución de malware avanzado.
Según una investigación publicada por la firma, aunque las operaciones de TA4922 se centraron inicialmente en organizaciones de Asia Oriental, durante este año el grupo ha ampliado su radio de acción hacia países europeos como Reino Unido, Alemania e Italia, adaptando sus tácticas a las particularidades culturales y lingüísticas de cada mercado para aumentar la eficacia de sus ataques.
Los investigadores destacan que TA4922 mantiene uno de los ritmos operativos más elevados del actual panorama de amenazas. Para lograr sus objetivos, los atacantes utilizan mensajes personalizados que incluyen referencias locales y asuntos relacionados con fiscalidad, recursos humanos, nóminas o facturación. El propósito es convencer a las víctimas para que continúen la comunicación fuera del correo electrónico, descarguen archivos maliciosos o faciliten información confidencial.
La investigación revela además una evolución significativa en el arsenal tecnológico empleado por el grupo. A herramientas ya conocidas como Winos4.0, también denominado ValleyRAT, se han sumado nuevas familias de malware como Atlas RAT, RomulusLoader y SilentRunLoader, capaces de proporcionar acceso remoto a los sistemas, realizar tareas de vigilancia y sustraer información sensible.
Uno de los aspectos que más preocupa a los expertos es el uso de RomulusLoader para desplegar herramientas legítimas de monitorización y administración remota, como AnyDesk y SyncFuture. Esta estrategia permite a los atacantes ocultar su actividad dentro de aplicaciones ampliamente utilizadas en entornos corporativos, dificultando su identificación por parte de los equipos de seguridad.
Las campañas detectadas muestran un alto grado de adaptación a cada país. En Japón, por ejemplo, los delincuentes enviaron supuestos avisos sobre ajustes salariales, mientras que en Alemania utilizaron comunicaciones falsas relacionadas con auditorías fiscales. En ambos casos, las víctimas eran dirigidas a archivos comprimidos alojados en plataformas legítimas que contenían código malicioso diseñado para establecer accesos persistentes a los sistemas comprometidos.
Proofpoint considera que la principal motivación de TA4922 es económica, ya que sus actividades están orientadas al robo de información, el fraude financiero, la comercialización de accesos comprometidos y el mantenimiento de presencia dentro de redes empresariales. No obstante, algunas de las herramientas utilizadas por el grupo también permiten grabar audio y vídeo, registrar pulsaciones de teclado y extraer información de forma encubierta, capacidades que podrían ser aprovechadas en operaciones de espionaje.
“TA4922 representa una nueva generación de ciberdelincuentes que combinan sofisticadas capacidades técnicas con campañas altamente localizadas y adaptadas a cada mercado”, señalan los investigadores de Proofpoint, quienes advierten de que la rápida evolución de sus tácticas y herramientas demuestra la creciente profesionalización de las amenazas cibernéticas.
Ante este escenario, la compañía recomienda a las organizaciones reforzar los controles sobre la ejecución de aplicaciones, vigilar la actividad procedente de directorios temporales de usuario, limitar los privilegios administrativos innecesarios y supervisar de forma continua el uso de herramientas de acceso remoto, incluso cuando se trate de software legítimo.
