{"id":455,"date":"2026-04-03T18:15:59","date_gmt":"2026-04-03T18:15:59","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/03\/ta416-vinculado-a-china-apunta-a-gobiernos-europeos-con-phishing-basado-en-plugx-y-oauth-cyberdefensa-mx\/"},"modified":"2026-04-03T18:15:59","modified_gmt":"2026-04-03T18:15:59","slug":"ta416-vinculado-a-china-apunta-a-gobiernos-europeos-con-phishing-basado-en-plugx-y-oauth-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/03\/ta416-vinculado-a-china-apunta-a-gobiernos-europeos-con-phishing-basado-en-plugx-y-oauth-cyberdefensa-mx\/","title":{"rendered":"TA416 vinculado a China apunta a gobiernos europeos con phishing basado en PlugX y OAuth \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Un actor de amenazas alineado con China ha puesto su mirada en el gobierno y las organizaciones diplom\u00e1ticas europeas desde mediados de 2025, luego de un per\u00edodo de dos a\u00f1os de ataques m\u00ednimos en la regi\u00f3n.<\/p>\n

La campa\u00f1a ha sido atribuida a TA416<\/strong>un grupo de actividad que se superpone con DarkPeony, RedDelta, Red Lich, SmugX, UNC6384 y Vertigo Panda.<\/p>\n

\u00abEsta actividad TA416 incluy\u00f3 m\u00faltiples oleadas de campa\u00f1as de entrega de malware y errores web contra misiones diplom\u00e1ticas ante la Uni\u00f3n Europea y la OTAN en una variedad de pa\u00edses europeos\u00bb, dijeron los investigadores de Proofpoint, Mark Kelly y Georgi Mladenov. dicho<\/a>.<\/p>\n

\u00abA lo largo de este per\u00edodo, TA416 alter\u00f3 regularmente su cadena de infecci\u00f3n, incluido el abuso de las p\u00e1ginas de desaf\u00edo de Cloudflare Turnstile, el abuso de redireccionamientos OAuth y el uso de archivos de proyecto C#, adem\u00e1s de actualizar con frecuencia su carga \u00fatil personalizada de PlugX\u00bb.<\/p>\n

Tambi\u00e9n se ha observado que TA416 orquesta m\u00faltiples campa\u00f1as dirigidas a entidades diplom\u00e1ticas y gubernamentales en el Medio Oriente luego del estallido del conflicto entre Estados Unidos, Israel e Ir\u00e1n a fines de febrero de 2026. Es probable que el esfuerzo sea un intento de recopilar inteligencia regional relacionada con el conflicto, agreg\u00f3 la compa\u00f1\u00eda de seguridad empresarial.<\/p>\n

Vale la pena mencionar aqu\u00ed que TA416 tambi\u00e9n comparte superposiciones t\u00e9cnicas hist\u00f3ricas con otro grupo conocido como Mustang Panda (tambi\u00e9n conocido como CerenaKeeper, Red Ishtar y UNK_SteadySplit). Los dos grupos de actividades se rastrean colectivamente bajo los apodos Earth Preta, Hive0154, HoneyMyte, Stately Taurus, Temp.HEX y Twill Typhoon. <\/p>\n

Si bien los ataques de TA416 se caracterizan por el uso de variantes PlugX personalizadas, el cl\u00faster Mustang Panda ha implementado repetidamente herramientas como TONESHELL, PUBLOAD y COOLCLIENT en ataques recientes. Lo que tienen en com\u00fan ambos es el uso de carga lateral de DLL para iniciar el malware.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

El renovado enfoque de TA416 en entidades europeas est\u00e1 impulsado por una combinaci\u00f3n de campa\u00f1as de entrega de malware y errores web, en las que los actores de amenazas utilizan cuentas de remitente de correo gratuito para realizar reconocimientos e implementar la puerta trasera PlugX a trav\u00e9s de archivos maliciosos alojados en Microsoft Azure Blob Storage, Google Drive, dominios bajo su control e instancias comprometidas de SharePoint. Las campa\u00f1as de malware PlugX fueron documentadas previamente por StrikeReady y Arctic Wolf en octubre de 2025.<\/p>\n

\u00abUn error web (o p\u00edxel de seguimiento) es un peque\u00f1o objeto invisible incrustado en un correo electr\u00f3nico que activa una solicitud HTTP a un servidor remoto cuando se abre, revelando la direcci\u00f3n IP del destinatario, el agente de usuario y el tiempo de acceso, lo que permite al actor de amenazas evaluar si el correo electr\u00f3nico fue abierto por el objetivo previsto\u00bb, dijo Proofpoint.<\/p>\n

Se descubri\u00f3 que los ataques llevados a cabo por TA416 en diciembre de 2025 aprovechaban las aplicaciones en la nube Microsoft Entra ID de terceros para iniciar redireccionamientos que conducen a la descarga de archivos maliciosos. Los correos electr\u00f3nicos de phishing utilizados como parte de esta ola de ataques contienen un enlace al sitio web leg\u00edtimo de Microsoft. OAuth<\/a> punto final de autorizaci\u00f3n que, cuando se hace clic, redirige al usuario al dominio controlado por el atacante y, en \u00faltima instancia, implementa PlugX.<\/p>\n

\"\"<\/a><\/div>\n

El uso de esta t\u00e9cnica no ha pasado desapercibido para Microsoft, que el mes pasado advirti\u00f3 sobre campa\u00f1as de phishing dirigidas a organizaciones gubernamentales y del sector p\u00fablico que emplean mecanismos de redireccionamiento de URL OAuth para eludir las defensas de phishing convencionales implementadas en el correo electr\u00f3nico y los navegadores.<\/p>\n

En febrero de 2026 se observaron m\u00e1s mejoras en la cadena de ataque, cuando TA416 comenz\u00f3 a vincularse a archivos alojados en Google Drive o una instancia comprometida de SharePoint. Los archivos descargados, en este caso, incluyen un ejecutable leg\u00edtimo de Microsoft MSBuild y un archivo de proyecto C# malicioso.<\/p>\n

\u00abCuando se ejecuta el ejecutable de MSBuild, busca en el directorio actual un archivo de proyecto y lo compila autom\u00e1ticamente\u00bb, dijeron los investigadores. \u00abEn la actividad TA416 observada, el archivo CSPROJ act\u00faa como un descargador, decodificando tres URL codificadas en Base64 para recuperar una tr\u00edada de carga lateral de DLL de un dominio controlado por TA416, guard\u00e1ndolas en el directorio temporal del usuario y ejecutando un ejecutable leg\u00edtimo para cargar PlugX a trav\u00e9s de la cadena de carga lateral de DLL t\u00edpica del grupo\u00bb.<\/p>\n

El malware PlugX sigue teniendo una presencia constante durante las intrusiones de TA416, aunque los ejecutables leg\u00edtimos y firmados de los que se abusa para la carga lateral de DLL han variado con el tiempo. Tambi\u00e9n se sabe que la puerta trasera establece un canal de comunicaci\u00f3n cifrado con su servidor de comando y control (C2), no sin antes realizar comprobaciones antian\u00e1lisis para evitar la detecci\u00f3n.<\/p>\n

PlugX acepta cinco comandos diferentes:<\/p>\n