xataka
Las empresas europeas llevan años conviviendo con una realidad difícil de ignorar: muchas amenazas digitales no nacen aquí, pero pueden terminar llegando igualmente a sus sistemas, sus correos y sus documentos internos. A veces lo hacen de forma ruidosa, otras con mensajes disfrazados. En este caso, lo que hemos visto es precisamente ese salto. Proofpoint afirma que un actor cibercriminal de habla china observado inicialmente sobre todo contra organizaciones asiáticas, ha extendido sus campañas a Reino Unido, Alemania e Italia con un conjunto de herramientas cada vez más amplio. Identificando el problema . Proofpoint identifica al actor como TA4922 y lo vincula al ecosistema cibercriminal de habla china por varios indicios: metadatos en chino dentro de muestras de malware, uso frecuente de infraestructura asociada a proveedores chinos y solapamientos con campañas como Silver Fox o Void Arachne. Aun así, la compañía separa este grupo de esas etiquetas y lo analiza como una amenaza propia, probablemente motivada por dinero. Europa entra en el mapa . Los especialistas empezaron a observar campañas asociadas a TA4922 en primavera de 2025, pero el cambio de escala llegó después. La actividad del grupo aumentó de forma notable en marzo de 2026 y mantuvo un ritmo alto en abril, con una diversidad operativa inédita en sus datos sobre este actor. En ese periodo aparecen campañas dirigidas a organizaciones de Reino Unido, Alemania e Italia, además de Sudáfrica, ya dentro de una expansión más global, una señal de que el grupo ya no se limita a sus objetivos más habituales en Asia. El gancho está en lo cotidiano . La puerta de entrada no siempre es una vulnerabilidad espectacular, sino un mensaje bien adaptado al contexto de quien lo recibe. Proofpoint describe señuelos localizados que imitan comunicaciones de recursos humanos, avisos de nóminas, auditorías fiscales, declaraciones de IVA, facturas o requisitos de cumplimiento normativo. En algunos casos, el intento no se queda en el correo: el actor también trata de mover la conversación a WhatsApp, LINE o Microsoft Teams , canales donde puede prolongar la ingeniería social lejos de la visibilidad habitual del correo corporativo. La caja de herramientas crece . Proofpoint señala que TA4922 ha ampliado de forma notable su arsenal en los últimos meses, algo que encaja con el aumento de actividad observado en marzo y abril de 2026. El informe menciona varias piezas: Atlas RAT, una puerta trasera de acceso remoto identificada recientemente por los investigadores; RomulusLoader, un cargador pensado para descargar y ejecutar nuevas cargas; SilentRunLoader, orientado al robo de datos de Chrome, y ValleyRAT/Winos4.0, una familia ya documentada. Atlas RAT . Este malware puede recopilar información del sistema, listar y subir archivos al servidor de mando y control, cargar plugins o módulos adicionales y ejecutar nuevas cargas. También incorpora funciones de vigilancia, como keylogger, capturas de pantalla, acceso al portapapeles y grabación de audio o vídeo mediante micrófono y cámara web. Proofpoint mantiene el matiz: evalúa al actor como financieramente motivado, pero advierte de que estas capacidades podrían usarse o venderse a grupos de espionaje. En Xataka Burlarte del estafador que te manda un SMS parece inofensivo: es una muy mala idea Herramientas legítimas, uso malicioso . Una parte del problema está en que TA4922 no se apoya únicamente en malware reconocible. Proofpoint describe el uso de RomulusLoader para instalar software de administración remota como AnyDesk y SyncFuture, herramientas que pueden tener usos legítimos dentro de una organización, pero que en este contexto sirven para ampliar el control sobre el entorno afectado. SilentRunLoader completa la fotografía desde otro ángulo: busca datos sensibles de Chrome, incluidas credenciales, cookies e historial. Además, Proofpoint cree con alta confianza que el grupo probablemente está usando LLM para acelerar el desarrollo de nuevo malware basado en Python. El aviso para Europa . Proofpoint describe a un actor capaz de moverse rápido, adaptar los mensajes al país y combinar cargas maliciosas con servicios legítimos, alojamiento en la nube y herramientas de administración remota. Eso obliga a mirar más allá del correo sospechoso evidente. Las recomendaciones de la compañía van en esa línea: controlar qué se ejecuta y desde dónde, vigilar conexiones anómalas, reducir privilegios locales y limitar el software permitido. La amenaza no se presenta como espionaje confirmado, pero sí como un riesgo empresarial muy real. Imágenes | DC Studio En Xataka | Apple ya ha vendido tantos iPhone a adultos que ahora va a por los niños. Convenciendo primero a sus padres, claro - La noticia Las empresas europeas tienen un nuevo problema: un arsenal de malware que habla chino fue publicada originalmente en Xataka por Javier Marquez .
Go to News Site
laSexta Noticias 
Cope Zaragoza 
El Punt Avui 
La Opinión de Málaga 
Diario CÓRDOBA 
VilaWeb 
