Desde mediados de 2025, **TA416**, un actor de amenazas alineado con China, ha estado atacando activamente organizaciones gubernamentales y diplomáticas europeas después de un período de dos años de inactividad relativa en la región. Esta actividad se superpone con otros grupos conocidos, incluidos DarkPeony, RedDelta, Red Lich, SmugX, UNC6384 y Vertigo Panda. **Campaña de espionaje europea** Investigadores de **Proofpoint**, Mark Kelly y Georgi Mladenov, informaron que **TA416** ha lanzado múltiples oleadas de campañas de entrega de web bugs y malware contra misiones diplomáticas ante la Unión Europea y la OTAN en varios países europeos. El grupo ha adaptado consistentemente su cadena de infección, utilizando técnicas como el abuso de las páginas de desafío Turnstile de **Cloudflare**, la explotación de redireccionamientos OAuth y el empleo de archivos de proyecto C#. También se han observado actualizaciones frecuentes de su carga útil **PlugX** personalizada. **Objetivo en Medio Oriente** Tras la escalada del conflicto entre EE. UU., Israel e Irán a fines de febrero de 2026, **TA416** también ha orquestado campañas dirigidas a entidades diplomáticas y gubernamentales en Medio Oriente, probablemente en un esfuerzo por recopilar inteligencia regional relacionada con el conflicto. **Conexiones con Mustang Panda** **TA416** comparte solapamientos técnicos históricos con **Mustang Panda** (también conocido como CerenaKeeper, Red Ishtar y UNK_SteadySplit). Estos dos grupos de actividad son rastreados colectivamente bajo varios nombres, incluidos Earth Preta, Hive0154, HoneyMyte, Stately Taurus, Temp.HEX y Twill Typhoon. Mientras que **TA416** utiliza principalmente variantes personalizadas de **PlugX**, se ha observado a **Mustang Panda** desplegando herramientas como TONESHELL, PUBLOAD y COOLCLIENT en ataques recientes. Una táctica común utilizada por ambos grupos es la carga lateral de DLL para lanzar malware. **Técnicas de infección** El renovado enfoque de **TA416** en entidades europeas implica una combinación de campañas de entrega de web bugs y malware. Los actores de amenazas utilizan cuentas de remitentes de correo gratuito para reconocimiento y despliegan el backdoor **PlugX** a través de archivos maliciosos alojados en **Microsoft Azure** Blob Storage, **Google Drive**, dominios controlados por el atacante e instancias de **SharePoint** comprometidas. Campañas anteriores de malware **PlugX** fueron documentadas por **StrikeReady** y **Arctic Wolf** en octubre de 2025. Los web bugs, o píxeles de seguimiento, son objetos diminutos e invisibles incrustados en correos electrónicos que activan una solicitud HTTP a un servidor remoto cuando se abren. Esto revela la dirección IP del destinatario, el agente de usuario y la hora de acceso, lo que permite al atacante evaluar si el correo electrónico fue abierto por el objetivo previsto. Los ataques observados en diciembre de 2025 utilizaron aplicaciones en la nube de terceros de **Microsoft Entra ID** para iniciar redireccionamientos que conducen a la descarga de archivos maliciosos. Los correos electrónicos de phishing contenían enlaces al punto final de autorización OAuth legítimo de **Microsoft**, que, al hacer clic, redirigían al usuario a un dominio controlado por el atacante y, en última instancia, desplegaban **PlugX**.  **Abuso de redireccionamiento OAuth** **Microsoft** ha advertido sobre campañas de phishing dirigidas a organizaciones gubernamentales y del sector público que emplean mecanismos de redireccionamiento de URL OAuth para eludir las defensas convencionales de phishing en correos electrónicos y navegadores. **Explotación de MSBuild** En febrero de 2026, **TA416** comenzó a enlazar a archivos alojados en **Google Drive** o instancias de **SharePoint** comprometidas. Estos archivos incluyen un ejecutable legítimo de **Microsoft MSBuild** y un archivo de proyecto C# malicioso. Cuando se ejecuta el ejecutable **MSBuild**, busca en el directorio actual un archivo de proyecto y lo compila automáticamente. En la actividad de **TA416**, el archivo CSPROJ actúa como un descargador, decodificando tres URL codificadas en Base64 para obtener una tríada de carga lateral de DLL desde un dominio controlado por **TA416**, guardándolas en el directorio temporal del usuario y ejecutando un ejecutable legítimo para cargar **PlugX** a través de la carga lateral de DLL. **Análisis de PlugX** El malware **PlugX** sigue siendo un elemento constante en las intrusiones de **TA416**. Los ejecutables firmados abusados para la carga lateral de DLL han variado con el tiempo. El backdoor establece un canal de comunicación cifrado con su servidor de comando y control (C2) después de realizar comprobaciones anti-análisis para evadir la detección. **Conjunto de comandos de PlugX** **PlugX** acepta los siguientes comandos: * **0x00000002**: Capturar información del sistema * **0x00001005**: Desinstalar el malware * **0x00001007**: Ajustar el intervalo de beaconing y el parámetro de tiempo de espera * **0x00003004**: Descargar y ejecutar una nueva carga útil (EXE, DLL o DAT) * **0x00007002**: Abrir un shell de comandos inverso **Influencia geopolítica** **Proofpoint** señala que el cambio de **TA416** de nuevo a la orientación gubernamental europea a mediados de 2025, después de centrarse en el Sudeste Asiático y Mongolia durante dos años, indica un enfoque renovado de recopilación de inteligencia contra entidades diplomáticas afiliadas a la UE y la OTAN. La expansión a la orientación gubernamental de Medio Oriente en marzo de 2026 resalta aún más cómo la priorización de las tareas del grupo está influenciada por los puntos críticos y las escaladas geopolíticas. El grupo ha demostrado una voluntad de iterar en las cadenas de infección, pasando por páginas falsas de **Cloudflare** Turnstile, abuso de redireccionamiento OAuth y entrega basada en **MSBuild**, mientras actualiza continuamente su backdoor **PlugX** personalizado. **Evolución de las operaciones cibernéticas chinas** **Darktrace** reveló que las operaciones cibernéticas de nexo chino han evolucionado de actividades alineadas estratégicamente en la década de 2010 a intrusiones altamente adaptativas y centradas en la identidad, destinadas a establecer persistencia a largo plazo dentro de las redes de infraestructura crítica. Basado en una revisión de campañas de ataque entre julio de 2022 y septiembre de 2025, las organizaciones estadounidenses representaron el 22.5% de todos los eventos globales, seguidas por Italia, España, Alemania, Tailandia, el Reino Unido, Panamá, Colombia, Filipinas y Hong Kong. La mayoría de los casos (63%) involucraron la explotación de infraestructura expuesta a Internet (por ejemplo, **CVE-2025-31324** y **CVE-2025-0994**) para obtener acceso inicial. En un caso, el actor había comprometido completamente el entorno y establecido persistencia, solo para resurgir más de 600 días después. Esta pausa operativa subraya la profundidad de la intrusión y la intención estratégica a largo plazo del actor, según **Darktrace**.