Grupo hacker chino TA416 ataca gobiernos europeos con malware PlugX y phishing OAuth

Un grupo de hackers vinculado a China, conocido como TA416, ha estado atacando a gobiernos y organizaciones diplomáticas europeas desde mediados de 2025. Este grupo utiliza una combinación de malware (programas maliciosos) llamado PlugX y técnicas de phishing (engaño por correo electrónico) basadas en OAuth para robar información y espiar a sus objetivos. Investigadores de Proofpoint descubrieron esta actividad, que había disminuido en la región durante los dos años anteriores.

Cómo funciona el ataque

TA416 ha estado variando sus tácticas de ataque, incluyendo el uso de:

• Web bugs: Pequeñas imágenes invisibles incrustadas en correos electrónicos que, al ser abiertas, revelan información como la dirección IP del destinatario.
• Redirecciones OAuth: Abuso de autorizaciones legítimas de Microsoft para redirigir a los usuarios a sitios controlados por los atacantes y descargar malware.
• Archivos de proyecto C#: Uso de archivos de proyecto de programación para descargar y ejecutar malware en los sistemas de las víctimas.
• DLL side-loading: Una técnica para ejecutar código malicioso aprovechando bibliotecas DLL legítimas.

En diciembre de 2025, los ataques utilizaron aplicaciones en la nube de Microsoft Entra ID para iniciar redirecciones a descargas de archivos maliciosos. Los correos electrónicos de phishing contenían enlaces a puntos de autorización legítimos de Microsoft OAuth que, al hacer clic, redirigían a los usuarios a un dominio controlado por el atacante, desplegando finalmente PlugX. En febrero de 2026, los atacantes comenzaron a usar archivos alojados en Google Drive o en instancias comprometidas de SharePoint. Estos archivos contenían un ejecutable legítimo de Microsoft MSBuild y un archivo de proyecto C# malicioso. Al ejecutar MSBuild, este busca un archivo de proyecto y lo compila automáticamente, permitiendo la descarga y ejecución de PlugX.

A quién afecta

Los objetivos principales de TA416 son gobiernos y organizaciones diplomáticas de la Unión Europea y la OTAN. Tras el inicio del conflicto entre Estados Unidos, Israel e Irán a finales de febrero de 2026, el grupo también ha dirigido sus ataques a entidades gubernamentales y diplomáticas en Oriente Medio, probablemente para recopilar información sobre la región.

El malware PlugX

El malware PlugX es una herramienta clave en los ataques de TA416. Este programa malicioso se utiliza para:

• Recopilar información del sistema.
• Desinstalar el propio malware.
• Ajustar los intervalos de comunicación con el servidor de control.
• Descargar y ejecutar otros archivos maliciosos.
• Abrir una shell (terminal) de comandos remota.

PlugX se comunica de forma encriptada con sus servidores de mando y control (C2), pero antes realiza comprobaciones para evitar ser detectado.

Qué significa esto para ti

Si trabajas en una organización gubernamental o diplomática, especialmente en Europa o Medio Oriente, es crucial que estés atento a los correos electrónicos sospechosos y enlaces desconocidos. Verifica siempre la autenticidad de los remitentes y evita hacer clic en enlaces o descargar archivos de fuentes no confiables. Mantén tu software actualizado y utiliza herramientas de seguridad robustas para protegerte contra el malware. La vigilancia y la formación en ciberseguridad son fundamentales para mitigar el riesgo de estos ataques.