Un actor de amenaza alineado por China conocido como TA415 se ha atribuido a campañas de phishing de lanza dirigidas al gobierno de los EE. UU., Tantas de expertos y organizaciones académicas que utilizan señuelos con temas económicos estadounidenses.
«En esta actividad, el grupo se disfrazó como el actual presidente del Comité Selecto de Competencia Estratégica entre los Estados Unidos y el Partido Comunista Chino (PCCh), así como en el Consejo de Negocios de los Estados Unidos y China, para dirigirse a una variedad de individuos y organizaciones enfocadas predominantemente en las relaciones entre Estados Unidos y Comercio, Comercio y Política Económica», dijo Proofpoint en un análisis.
La compañía de seguridad empresarial dijo que la actividad, observada a lo largo de julio y agosto de 2025, es probablemente un esfuerzo en parte de los actores de amenaza patrocinados por el estado chino para facilitar la recopilación de inteligencia en medio de conversaciones comerciales en curso de los Estados Unidos-China, agregando el grupo de piratería compartidos con un grupo de amenazas rastreado ampliamente bajo los nombres APT41 y Brass Typhon (anteriormente Barium).
Los hallazgos se producen días después de que el Comité Selecto de la Cámara de Representantes de los Estados Unidos emitió una advertencia de asesoramiento de una serie «en curso» de campañas de espionaje cibernético altamente dirigido vinculadas a los actores de amenazas chinas, incluida una campaña que se hizo pasar por el congresista republicano del Partido John Robert Moolenaar en correos electrónicos de phishing diseñados para entregar malware.
La campaña, por punto de prueba, se centró principalmente en individuos que se especializaron en el comercio internacional, la política económica y las relaciones entre Estados Unidos y China, enviándoles correos electrónicos que suplican al Consejo de Negocios US-China que las invitó a una supuesta sesión informativa de puertas cerradas sobre los asuntos de los Estados Unidos y Usia-China.
Los mensajes se enviaron utilizando la dirección de correo electrónico «UsChina@Zohomail (.) Com», al tiempo que dependía del servicio CloudFlare Warp VPN para ofuscar la fuente de la actividad. Contienen enlaces a archivos protegidos con contraseña alojados en servicios públicos de intercambio de nubes como Zoho WorkDrive, Dropbox y Opendrive, dentro del cual existe un acceso directo (LNK) de Windows junto con otros archivos en una carpeta oculta.
La función principal del archivo LNK es ejecutar un script por lotes dentro de la carpeta oculta y mostrar un documento PDF como un señuelo para el usuario. En el fondo, el script por lotes ejecuta un cargador de pitón ofuscado llamado WhirlCeil que también está presente en el archivo.
«En su lugar, las variaciones anteriores de esta cadena de infección descargaron el cargador Python de remolino de un sitio de Paste, como Pastebin, y el paquete Python directamente desde el sitio web oficial de Python», señaló Proofpoint.
El script también está diseñado para configurar una tarea programada, típicamente llamada GoogleUpdate o MicrosOfThealthCaremonritornode, para ejecutar el cargador cada dos horas como una forma de persistencia. También ejecuta la tarea con privilegios del sistema si el usuario tiene acceso administrativo al host comprometido.
Posteriormente, el cargador de Python establece un túnel remoto de Código de Visual Studio para establecer el acceso persistente de la puerta trasera y cosecha información del sistema y el contenido de varios directorios de usuarios. Los datos y el código de verificación del túnel remoto se envían a un servicio de registro de solicitud gratuito (por ejemplo, requestRepo (.) Com) en forma de una blob codificada de base64 dentro del cuerpo de una solicitud posterior a HTTP.
Vale la pena señalar que la cadena de infecciones adoptada en esta campaña se ha mantenido en gran medida sin cambios de una secuencia de ataque previa dirigida a organizaciones en los sectores aeroespaciales, químicos, seguros y de fabricación en septiembre de 2024 que entregó túneles remotos de Visual Studio Code a través del cargador de Python.
«Con este código, el actor de amenaza puede autenticar el túnel remoto VS Código y acceder de forma remota al sistema de archivos y ejecutar comandos arbitrarios a través del terminal de Visual Studio incorporado en el host dirigido», dijo Proofpoint.