Un grupo de ciberespionaje chino ha vuelto a centrar su mirada en Europa después de años de centrarse en otras partes del mundo, según una investigación de Proofpoint publicada el miércoles.

El aumento comenzó a mediados de 2025, con una serie de problemas surgiendo entre China y Europa, la empresa dijo. Proofpoint etiqueta al grupo vinculado al gobierno TA416, pero otras empresas lo siguen como Twill Typhoon, Mustang Panda u otros nombres.

«Este enfoque renovado se centró principalmente en personas o buzones de correo asociados con misiones diplomáticas y delegaciones ante la OTAN y la UE», escribieron Mark Kelly y Georgi Mladenov de Proofpoint. «El regreso de TA416 a los objetivos del gobierno europeo se produjo durante el aumento de las tensiones entre la UE y China sobre el comercio, la guerra entre Rusia y Ucrania y las exportaciones de tierras raras, y comenzó inmediatamente después de la 25ª cumbre UE-China».

Por otra parte, el mismo grupo comenzó a atacar Oriente Medio en marzo después del inicio del conflicto en Irán, algo que nunca antes se había visto haciendo, descubrió Proofpoint.

«Esto se alinea con una tendencia observada por Proofpoint de que algunos actores de amenazas alineados con el Estado cambian sus objetivos hacia el gobierno de Medio Oriente y entidades diplomáticas después de la guerra», dijo la firma. «Esto probablemente refleja un esfuerzo por reunir inteligencia regional sobre el estado, la trayectoria y las implicaciones geopolíticas más amplias del conflicto».

TA416 estuvo activo en Europa en 2022 y 2023, coincidiendo con el inicio de la guerra entre Ucrania y Rusia, pero luego se alejó del continente, según los investigadores. Su atención se centró en el sudeste asiático, Taiwán y Mongolia durante un par de años.

El enfoque del grupo en Europa hasta principios de 2026 utilizó una variedad de métodos de entrega de malware y errores web, incluido el establecimiento de reconocimiento mediante señuelos colgantes sobre el envío de tropas de Europa a Groenlandia. También incluía correos electrónicos de phishing sobre preocupaciones humanitarias, solicitudes de entrevistas y propuestas de colaboración, dijo Proofpoint.

«Durante este período, TA416 alteró repetidamente sus cadenas de infección iniciales mientras mantenía el objetivo constante de cargar la puerta trasera PlugX personalizada del grupo a través de tríadas de carga lateral de DLL», escribieron los investigadores.

El de Proofpoint no es el único informe reciente sobre grupos de ciberespionaje chinos que apuntan a Europa, con otro enfocado en solicitudes de LinkedIn para la OTAN y las instituciones europeas.