El actor de amenazas patrocinado por el estado TA415 chino ha desarrollado sus tácticas, técnicas y procedimientos al aprovechar servicios de nube legítimos como Google Sheets y Google Calendar para las comunicaciones de comando y control en campañas recientes del gobierno, pensamiento y organizaciones académicas de los Estados Unidos.
A lo largo de julio y agosto de 2025, este grupo sofisticado realizó operaciones de lanza utilizando señuelos con temas económicos estadounidenses, disfrazándose de cifras prominentes, incluido el actual Presidente del Comité Selecto de Competencia Estratégica entre los Estados Unidos y el Partido Comunista Chino.
TA415, también conocido como APT41, tifón de latón y panda Wicked, representa un cambio significativo en las operaciones cibernéticas patrocinadas por el estado al abandonar los mecanismos tradicionales de entrega de malware a favor de las herramientas de desarrollo legítimas.
Las últimas campañas del grupo han utilizado constantemente servicios de confianza para la infraestructura de comando y control, lo que demuestra una estrategia deliberada para combinar actividades maliciosas con patrones de tráfico de red normales.
Este enfoque complica significativamente los esfuerzos de detección ya que las herramientas de seguridad deben distinguir entre comunicaciones comerciales legítimas y canales de comando adversos.
Investigadores de prueba identificado que las operaciones recientes de TA415 se centraron principalmente en la recolección de inteligencia con respecto a la trayectoria de las relaciones económicas entre Estados Unidos y China, alineándose con tensiones geopolíticas más amplias y negociaciones comerciales continuas.
El momento de estas campañas coincide con las discusiones de políticas críticas que rodean las relaciones con los Estados Unidos y los marcos integrales de sanciones dirigidas a China, lo que sugiere requisitos de inteligencia específicos de los tomadores de decisiones a nivel estatal.
La metodología de infección del actor de amenaza implica la entrega de archivos protegidos con contraseña a través de servicios para compartir en la nube, incluidos Zoho WorkDrive, Dropbox y Opendrive.
Estos archivos contienen archivos de acceso directo de Microsoft junto con componentes ocultos almacenados en subcarpetas MacOS ocultas.
El grupo emplea constantemente los servicios de Cloudflare Warp VPN para oscurecer las oscuras direcciones IP del remitente durante la transmisión del correo electrónico, agregando una capa adicional de seguridad operativa a sus campañas.
Análisis avanzado de la cadena de infecciones
El mecanismo de infección TA415 demuestra una comprensión sofisticada de los flujos de trabajo de desarrollo legítimos a través de su implementación de túneles remotos de Visual Studio Code.
Cadena de infección de túnel remota TA415 vs Código (Fuente – Proofpoint)
Tras la ejecución, el archivo LNK malicioso desencadena un script por lotes llamado Logon.bat, que posteriormente lanza el cargador Python de remolino a través de un paquete de Python incrustado.
Este cargador exhibe técnicas de ofuscación avanzadas que utilizan nombres de funciones y variables repetidas como IIILLIIIILILIII para evadir los métodos de detección de análisis estáticos.
El componente WhirlCoil descarga la interfaz de línea de comandos VScode de las fuentes oficiales de Microsoft, la extrae a %LocalAppData %\ Microsoft \ VScode, y establece la persistencia a través de tareas programadas llamadas GoogleUpdate, GoogleUpdated o MicrosofthealthCaremonritornodode.
El script ejecuta el código de comando CODE.EXE Túnel Iniciar sesión-Provider GitHub-Nombre para crear túneles remotos autorizados con GitHub, proporcionando un acceso persistente sin firmas de malware convencionales.
La recopilación de información del sistema incluye detalles de la versión de Windows, configuración de localidad, identificación por computadora, nombre de usuario e información de dominio, que se transmite a través de solicitudes de publicaciones a servicios de registro de solicitudes gratuitos como requitrepo.com.
Los datos exfiltrados se combinan con los códigos de verificación de túnel remoto del código VS, lo que permite a los actores de amenaza autenticar sesiones remotas y ejecutar comandos arbitrarios a través de la interfaz terminal integrada de Visual Studio.
¡Webinar gratuito en vivo en nuevas tácticas de malware de nuestros analistas! Aprenda técnicas de detección avanzada -> Regístrese gratis
