El editor de código se convierte en herramienta de espionaje: un solo atajo puede revelar los secretos económicos de toda una nación
Las negociaciones con China ni siquiera han empezado, pero Estados Unidos ya las ha perdido.
Proofpoint publicó un análisis en el que describía una serie de ataques dirigidos de phishing organizados por un grupo vinculado con intereses estatales chinos y conocido como TA415. El informe indica que los atacantes se enfocaron en empleados de organismos gubernamentales de EE. UU., centros de análisis y organizaciones académicas que trabajan en asuntos de las relaciones económicas entre EE. UU. y China, y montaron campañas de correo haciéndose pasar por el presidente del Comité de Competencia Estratégica de EE. UU. con China y por el U.S.-China Business Council —todo en un intento de recopilar inteligencia antes de las negociaciones comerciales.
Los ataques se registraron en julio y agosto de 2025 y utilizaron correos con invitaciones temáticas a sesiones informativas cerradas sobre Taiwán y las relaciones comerciales. Los mensajes procedían de la dirección uschina@zohomail[.]com y además se camuflaban mediante el servicio Cloudflare WARP para ocultar la fuente del tráfico. A los destinatarios se les pidió descargar archivos comprimidos protegidos con contraseña desde plataformas en la nube —Zoho WorkDrive, Dropbox, OpenDrive— en cuyo interior había un acceso directo LNK y un conjunto de archivos ocultos.
El acceso directo ejecutaba un script por lotes desde una carpeta disimulada y, al mismo tiempo, mostraba al usuario una imitación en PDF, mientras en segundo plano se iniciaba un cargador de Python ofuscado llamado WhirlCoil. Anteriormente, cadenas similares descargaban ese cargador desde servicios públicos tipo Paste o instalaban el paquete de Python directamente desde el sitio oficial de Python. Para afianzar el acceso, los atacantes creaban un programador de tareas con nombres como GoogleUpdate o MicrosoftHealthcareMonitorNode, que ejecutaba el cargador cada dos horas y, si contaba con privilegios de administrador, se ejecutaba con privilegios de SYSTEM.
Un módulo posterior instalaba un túnel persistente de Visual Studio Code Remote Tunnel, lo que permitía establecer acceso remoto al sistema de archivos y ejecutar comandos a través del terminal integrado de VSCode. La recopilación de información del sistema y del contenido de directorios de usuario se enviaba a un servicio gratuito de registro de peticiones en forma de blob codificado en base64 en el cuerpo de una petición HTTP POST. Según Proofpoint, este mismo método con el túnel de Visual Studio ya se había usado en septiembre de 2024 contra empresas de los sectores aeroespacial, químico y manufacturero.
Los analistas señalan solapamientos de tácticas e instrumentos de TA415 con clústeres que previamente se habían vinculado con APT41 y Brass Typhoon, y relacionan la actividad con intentos de obtener ventaja en las negociaciones sobre asuntos económicos entre EE. UU. y China. El informe subraya que los ataques se dirigieron a expertos en comercio y política económica, lo que indica una selección de objetivos por temática y la intención de acceder a información especializada, a menudo opaca.
¿Estás cansado de que Internet sepa todo sobre ti?