Un actor de amenazas alineado con China conocido como TA415 se ha atribuido a campañas de suplantación de identidad dirigidas al gobierno de los Estados Unidos, grupos de expertos y organizaciones académicas que utilizan señuelos de temática económica entre Estados Unidos y China.
«En esta actividad, el grupo se hizo pasar por el actual presidente del Comité Selecto sobre la Competencia Estratégica entre los Estados Unidos y el Partido Comunista Chino (PCCh), así como del Consejo Empresarial entre Estados Unidos y China, para atacar a una variedad de personas y organizaciones centradas principalmente en las relaciones, el comercio y la política económica entre Estados Unidos y China», Proofpoint dijo en un análisis.
La empresa de seguridad empresarial dijo que la actividad, observada durante julio y agosto de 2025, probablemente se deba a un esfuerzo por parte de los actores de amenazas patrocinados por el estado chino para facilitar la recopilación de información en medio de las actuales negociaciones comerciales entre Estados Unidos y China, y añadió que el grupo de hackers comparte superposiciones con un grupo de amenazas rastreado ampliamente con los nombres APT41 y Brass Typhoon (anteriormente Barium).
Las conclusiones se producen días después del Comité Selecto de la Cámara de Representantes de los Estados Unidos sobre China emitido una advertencia sobre una serie «en curso» de campañas de ciberespionaje muy específicas vinculadas a actores de amenazas chinos, incluida una campaña en la que se hizo pasar por el congresista del Partido Republicano, John Robert Moolenaar, en correos electrónicos de suplantación de identidad diseñados para enviar software malicioso para robar datos.
La campaña, según Proofpoint, se centró principalmente en personas que se especializaban en comercio internacional, política económica y relaciones entre Estados Unidos y China, y les enviaban correos electrónicos en los que se simulaba que el Consejo Empresarial entre Estados Unidos y China las invitaba a una supuesta sesión informativa a puerta cerrada sobre los asuntos entre Estados Unidos y Taiwán y entre Estados Unidos y China.
Los mensajes se enviaron a través de la dirección de correo electrónico «uschina @zohomail [.] com» y también se basaron en el servicio WARP VPN de Cloudflare para ocultar el origen de la actividad. Contienen enlaces a archivos protegidos con contraseña alojados en servicios de uso compartido en la nube pública, como Zoho WorkDrive, Dropbox y OpenDrive, en los que hay un acceso directo a Windows (LNK) junto con otros archivos en una carpeta oculta.
La función principal del archivo LNK es ejecutar un script por lotes dentro de la carpeta oculta y mostrar un documento PDF como señuelo para el usuario. En segundo plano, el script por lotes ejecuta un cargador de Python confuso llamado WhirlCoil que también está presente en el archivo.
«En cambio, las versiones anteriores de esta cadena de infección descargaban el cargador WhirlCoil Python de un sitio de Paste, como Pastebin, y el paquete Python directamente del sitio web oficial de Python», señala Proofpoint.
El script también está diseñado para configurar una tarea programada, normalmente denominada GoogleUpdate o MicrosoftHealthcareMonitorNode, para ejecutar el cargador cada dos horas como forma de persistencia. También ejecuta la tarea con privilegios del SISTEMA si el usuario tiene acceso administrativo al host comprometido.
El cargador de Python establece posteriormente un Túnel remoto de Visual Studio Code para establecer un acceso de puerta trasera persistente y recopilar la información del sistema y el contenido de varios directorios de usuarios. Los datos y el código de verificación del túnel remoto se envían a un servicio gratuito de registro de solicitudes (por ejemplo, requestrepo [.] com) en forma de un blob codificado en base64 dentro del cuerpo de una solicitud HTTP POST.
«Con este código, el autor de la amenaza puede autenticar el túnel remoto de VS Code y acceder de forma remota al sistema de archivos y ejecutar comandos arbitrarios a través del terminal de Visual Studio integrado en el host objetivo», afirma Proofpoint.