Proofpoint ha identificado una nueva campaña de ciberespionaje atribuida a TA415 (también conocido como APT41), un grupo alineado con los intereses de China. En esta ocasión, los atacantes han explotado una herramienta legítima de desarrollo, los túneles remotos de Visual Studio Code, para establecer accesos persistentes en redes estadounidenses sin necesidad de recurrir a malware tradicional.
Según la investigación, la campaña se desarrolló entre julio y agosto de este año y se dirigió contra instituciones gubernamentales, académicas y think tanks en Estados Unidos. Los correos de phishing empleados imitaban a figuras políticas y organizaciones de confianza, incluyendo al presidente del comité selecto sobre competencia estratégica del Partido Comunista Chino.
Los expertos de Proofpoint destacan que TA415 recurrió a servicios legítimos para su infraestructura de comando y control —como Google Sheets, Google Calendar o los propios túneles remotos de VS Code—, con el objetivo de camuflar su actividad entre el tráfico habitual hacia plataformas de confianza. En campañas anteriores, este mismo grupo ya había utilizado cadenas de infección similares para distribuir herramientas como Voldemort. En esta ocasión, desplegaron un loader de Python ofuscado, denominado WhirlCoil, que les permitió instalar el acceso remoto de VS Code.
Los sectores aeroespacial, químico, asegurador y de fabricación estuvieron entre los principales objetivos de esta ofensiva.
El Gobierno de Estados Unidos lleva años señalando a TA415 por sus actividades de espionaje, vinculándolo con la empresa Chengdu 404 Network Technology, una firma que, según las acusaciones, actúa como contratista del ecosistema de inteligencia chino. La atribución realizada por Proofpoint se apoya en coincidencias con infraestructuras previas del grupo, así como en sus tácticas, técnicas y procedimientos característicos.
“Muchas de las entidades atacadas encajan con las prioridades conocidas de la inteligencia china en la recopilación de información. Lo relevante en este caso es el giro que han dado hacia objetivos más sensibles en el contexto de la compleja relación económica y geopolítica entre China y Estados Unidos, lo que evidencia la capacidad de adaptación del grupo”, subraya el equipo de investigación de Proofpoint.
