El grupo de ciberespionaje TA416, vinculado al ecosistema de amenazas chino, ha reactivado de forma sistemática sus operaciones contra gobiernos y misiones diplomáticas europeas, al tiempo que amplía su radio de acción hacia organizaciones gubernamentales en Oriente Medio. Investigadores de Proofpoint señalan que, tras casi dos años de actividad reducida en Europa, desde mediados de 2025 las campañas vuelven a centrarse en delegaciones ante la Unión Europea (UE) y la OTAN.
Grupo TA416 y su relación con Mustang Panda y otros clústeres APT chinos
TA416 se considera un clúster persistente de ciberespionaje que comparte infraestructura, técnicas y solapamientos con actores rastreados como DarkPeony, RedDelta, Red Lich, SmugX, UNC6384 y Vertigo Panda. Históricamente se han observado también coincidencias técnicas con el conocido grupo chino Mustang Panda, activo desde hace años en operaciones geopolíticas.
Distintos fabricantes de seguridad engloban estos actores dentro de macroetiquetas como Earth Preta, Hive0154, HoneyMyte, Stately Taurus, Temp.HEX o Twill Typhoon. En este ecosistema, TA416 se caracteriza por su uso constante de variantes personalizadas del malware PlugX, mientras que Mustang Panda emplea con más frecuencia herramientas como TONESHELL, PUBLOAD y COOLCLIENT. Un elemento técnico común es el DLL side‑loading, técnica que consiste en cargar una biblioteca maliciosa a través de un ejecutable legítimo y firmado, dificultando su detección.
Objetivos estratégicos: UE, OTAN y expansión a Oriente Medio
Las campañas recientes se dirigen a ministerios, embajadas y misiones permanentes ante la UE y la OTAN en varios países europeos. El objetivo principal es el robo silencioso de información diplomática y política relevante para la formulación de políticas exteriores y de defensa.
Desde finales de febrero de 2026 se observan, además, oleadas selectivas de ataques contra organizaciones gubernamentales y diplomáticas en Oriente Medio. En el contexto de la tensión geopolítica entre Estados Unidos, Israel e Irán, los analistas interpretan estas acciones como esfuerzos de inteligencia estratégica para monitorizar la evolución del conflicto y las respuestas de los Estados de la región.
Cadena de ataque de TA416: tracking pixel, PlugX, nubes públicas y abuso de OAuth
Uso de web bug (tracking pixel) para reconocimiento discreto
En la fase inicial, TA416 incorpora en los correos de phishing un web bug o tracking pixel: un elemento gráfico diminuto e invisible que, al abrirse el mensaje, realiza una petición a un servidor remoto. Este mecanismo permite a los atacantes recopilar dirección IP, navegador o cliente de correo (user‑agent) y marca temporal, confirmando que el correo ha sido abierto por la persona objetivo dentro de una entidad gubernamental o diplomática.
Distribución de PlugX a través de Microsoft Azure, Google Drive y SharePoint
Una vez validado el interés de la víctima, el grupo envía enlaces a archivos comprimidos que contienen el backdoor PlugX. Estos archivos se alojan en Microsoft Azure Blob Storage, Google Drive, instancias de SharePoint comprometidas y dominios controlados por el atacante. El uso de cuentas de correo gratuitas (freemail) y servicios en la nube legítimos complica el bloqueo basado en reputación y firmas tradicionales.
Abuso de OAuth y aplicaciones de Microsoft Entra ID
Desde diciembre de 2025, TA416 integra en sus correos enlaces a aplicaciones de terceros registradas en Microsoft Entra ID, aprovechando el endpoint OAuth legítimo de Microsoft. A primera vista, la URL de destino pertenece al dominio oficial de autenticación de Microsoft, lo que genera una falsa sensación de seguridad. Sin embargo, tras la autenticación o el clic inicial, se produce un redireccionamiento (OAuth redirect) hacia dominios bajo control del atacante, donde finalmente se descarga el paquete con PlugX.
MSBuild y proyectos C#: nueva cadena de infección observada en 2026
En 2026 se ha documentado una evolución adicional de la cadena de infección. En lugar de distribuir directamente ejecutables, los atacantes remiten un archivo comprimido alojado en Google Drive o en un SharePoint vulnerado, que contiene el binario legítimo Microsoft MSBuild junto con un proyecto malicioso de C# (.CSPROJ).
MSBuild está diseñado para compilar proyectos de .NET y suele estar presente en entornos corporativos. Al ejecutarlo en la carpeta del archivo recibido, el propio MSBuild localiza y “compila” el proyecto CSPROJ, que actúa en realidad como cargador (loader). Este script decodifica varias URLs codificadas en Base64, descarga desde el servidor del atacante una tríada de archivos para DLL side‑loading, los guarda en directorios temporales y lanza un ejecutable legítimo que termina cargando la DLL con PlugX.
PlugX permanece como componente constante en las operaciones de TA416. El backdoor establece un canal cifrado con el servidor de mando y control (C2), incluye rutinas para detectar entornos de análisis (sandbox) y herramientas de depuración, y está optimizado para mantener un acceso persistente y sigiloso a los sistemas comprometidos.
Tendencias de las operaciones chinas y prioridades para la defensa
Informes de empresas como Darktrace apuntan a una evolución de las operaciones de origen chino desde ataques puntuales a intrusiones prolongadas y adaptativas en redes de infraestructuras críticas. Entre julio de 2022 y septiembre de 2025, aproximadamente el 22,5 % de los incidentes documentados afectó a organizaciones de Estados Unidos, seguidas por Italia, España, Alemania, Tailandia, Reino Unido, Panamá, Colombia, Filipinas y Hong Kong. En un 63 % de los casos, el acceso inicial se logró explotando sistemas expuestos a Internet y vulnerabilidades conocidas.
En un incidente representativo, los atacantes mantuvieron el control de la infraestructura y regresaron tras más de 600 días de inactividad aparente, subrayando una estrategia orientada a la presencia latente a largo plazo y la activación del acceso cuando resulte geopolíticamente más ventajoso.
Para gobiernos, misiones diplomáticas y operadores de infraestructuras críticas, estas campañas de TA416 son una llamada a priorizar el control estricto de aplicaciones OAuth y redirecciones, la limitación y monitorización del uso de MSBuild y herramientas de desarrollo en estaciones de trabajo, y la implementación de políticas específicas contra el DLL side‑loading. A esto se suma la necesidad de reforzar la gestión de parches en sistemas expuestos a Internet, desplegar autenticación multifactor, soluciones de seguridad del correo con análisis avanzado y analítica basada en comportamiento. Adoptar estas medidas incrementa significativamente la capacidad de detectar a tiempo operaciones de ciberespionaje de alta complejidad y reducir su impacto operativo y estratégico.
