La agrupación ciberdelincuencial de habla china TA4922, anteriormente centrada en objetivos de Asia Oriental, ha ampliado la geografía de sus ataques a organizaciones europeas —en el Reino Unido, Alemania, Italia— así como en Sudáfrica. Según la empresa Proofpoint, el grupo muestra un elevado ritmo operativo y utiliza tanto familias de malware ya conocidas (ValleyRAT, Atlas RAT) como herramientas hasta ahora no documentadas: los loaders RomulusLoader y SilentRunLoader. Las organizaciones de las regiones afectadas deben reforzar el control de los ataques de phishing con temática de notificaciones de recursos humanos y fiscales, así como limitar las posibilidades de DLL side-loading en los endpoints.
Perfil del grupo y motivación
Proofpoint rastrea la actividad bajo el identificador TA4922 y lo caracteriza como un actor de habla china con motivación principalmente financiera. Según los investigadores, el grupo tiene como objetivo obtener acceso remoto a la infraestructura de las víctimas para robar datos, cometer fraudes, revender el acceso o asegurar una presencia a largo plazo en los entornos comprometidos. Proofpoint señala que TA4922 lleva a cabo más campañas únicas que cualquier otro actor de amenazas que monitorizan, lo que pone de manifiesto una actividad operativa excepcional por parte del grupo.
Es importante tener en cuenta que la atribución y la evaluación de la motivación se basan en el análisis de un único proveedor y no han sido confirmadas por fuentes independientes. No obstante, Proofpoint subraya que el malware del grupo dispone de funcionalidades de vigilancia de las víctimas, lo que amplía el posible abanico de amenazas más allá de los fines puramente financieros.
Arsenal de malware
El conjunto de herramientas de TA4922 combina familias de malware conocidas y nuevas:
- Atlas RAT (también conocido como AtlasCross RAT): troyano de acceso remoto, entregado mediante DLL side-loading. Se utilizó en la mayoría de las campañas registradas contra organizaciones japonesas y europeas.
- ValleyRAT (Winos 4.0): familia de malware conocida, previamente asociada a grupos de habla china.
- RomulusLoader: loader hasta ahora no documentado, escrito en lenguaje C. En una de las campañas se utilizó para desplegar la herramienta legítima de acceso remoto AnyDesk y la utilidad SyncFuture mediante DLL side-loading.
- SilentRunLoader: loader y stealer en Python que, según Proofpoint, fue creado utilizando métodos del denominado «vibe coding» (generación de código mediante IA). Su función principal es soltar un ejecutable destinado a extraer credenciales guardadas, cookies e historial de navegación de Google Chrome.
Cronología de las campañas de 2026
Según Proofpoint, entre marzo y abril de 2026 se registraron al menos siete campañas de phishing diferenciadas:
- 6 de marzo: ataques a organizaciones japonesas con cebos relacionados con recursos humanos, entrega de Atlas RAT mediante DLL side-loading.
- 23 de marzo: cebos corporativos y de recursos humanos dirigidos a objetivos en Japón, entrega de RomulusLoader mediante DLL side-loading.
- 30 de marzo: cebos en nombre de autoridades fiscales contra organizaciones del Reino Unido, entrega de SilentRunLoader con posterior exfiltración de datos de Chrome.
- 2 de abril: cebos de recursos humanos contra organizaciones del Reino Unido y Alemania, entrega de Atlas RAT.
- 7 de abril: cebos con facturas contra organizaciones japonesas, entrega de Atlas RAT.
- 10 de abril: cebos sobre beneficios y cumplimiento normativo contra organizaciones del Sudeste Asiático y el Reino Unido, entrega de SilentRunLoader con exfiltración de datos de Chrome.
- Mediados de abril: cebos empresariales y fiscales contra organizaciones en Japón y Alemania, entrega de RomulusLoader con despliegue posterior de AnyDesk y SyncFuture.
Particularidades tácticas
Además del phishing tradicional, los investigadores de Proofpoint detectaron una táctica característica de TA4922: trasladar la comunicación con las víctimas del correo electrónico a canales de terceros como LINE, WhatsApp y Microsoft Teams. El objetivo de este cambio es eludir los mecanismos corporativos de protección del correo electrónico (gateways de seguridad, sistemas DLP, sandboxing), que no controlan estos canales. Esto permite a los atacantes entregar malware y robar datos eludiendo el perímetro de protección principal.
El método dominante de entrega de la carga útil es el DLL side-loading, en el que una biblioteca dinámica maliciosa es cargada por una aplicación legítima. Este método sortea de forma eficaz una serie de soluciones antivirus, ya que el código malicioso se ejecuta en el contexto de un proceso de confianza.
Evaluación del impacto
La expansión de la geografía de los ataques de TA4922 afecta principalmente a organizaciones en el Reino Unido, Alemania y el Sudeste Asiático. El uso de cebos relacionados con recursos humanos, impuestos y cuestiones empresariales apunta a un amplio espectro de posibles víctimas, desde departamentos de RRHH hasta áreas financieras. SilentRunLoader representa un peligro especial: la compromisión de credenciales guardadas en Chrome puede conducir a un compromiso en cascada de cuentas corporativas, especialmente en ausencia de autenticación multifactor.
El despliegue de la herramienta legítima AnyDesk a través de RomulusLoader crea un canal de acceso remoto persistente que resulta difícil de distinguir de un uso legítimo sin una monitorización específica.
Recomendaciones prácticas
- Limitación del DLL side-loading: implemente políticas de control de aplicaciones (AppLocker, WDAC) que prohíban la carga de DLL desde directorios no estándar. Supervise los eventos de carga de bibliotecas por aplicaciones legítimas desde carpetas temporales y directorios de usuario.
- Control de mensajería de terceros: restrinja o supervise el uso de LINE, WhatsApp Desktop e instancias no autorizadas de Microsoft Teams en dispositivos corporativos. Forme al personal para que identifique intentos de trasladar la correspondencia empresarial a canales no controlados.
- Protección de los datos del navegador: considere desactivar el gestor de contraseñas integrado de Chrome en favor de una solución corporativa. Supervise los accesos a los archivos de perfil de Chrome (Login Data, Cookies, History) por parte de procesos atípicos.
- Control de AnyDesk: si AnyDesk no es una herramienta corporativa aprobada, bloquee su instalación y ejecución. En caso de uso legítimo, supervise la aparición de instancias no autorizadas.
- Refuerzo del filtrado de phishing: actualice las reglas de los gateways de correo para identificar cebos con temática de notificaciones de RRHH, documentos fiscales y facturas, especialmente cuando incluyan adjuntos con archivos ejecutables o archivos comprimidos.
Siete campañas en seis semanas, con el uso de tres familias de malware distintas y un cambio constante de cebos, conforman un ritmo que exige de los defensores un enfoque proactivo. Las acciones prioritarias son: limitar el DLL side-loading en los endpoints, bloquear herramientas de acceso remoto no autorizadas y controlar el acceso al almacén de credenciales de Chrome. Las organizaciones del Reino Unido y Alemania deberían considerar a TA4922 como una amenaza actual desde este momento, sin esperar la confirmación de fuentes adicionales.
