El equipo de investigación de Proofpoint ha podido observar aproximadamente desde septiembre la vuelta a la actividad de phishing del actor de amenazas APT TA416, el cual parece dar continuidad a anteriores campañas con las que se dirigía a entidades encargadas de las relaciones diplomáticas entre el Vaticano y el Partido Comunista Chino, así como a instituciones con sede en Myanmar o incluso del continente africano. Algunas de las acciones históricas de este actor han sido atribuidas públicamente a grupos de ciberdelincuencia como Mustang Panda y RedDelta. En esta ocasión se ha utilizado como señuelo la reciente renovación por parte de la Santa Sede y China del acuerdo para el nombramiento de obispos, además de correos electrónicos fraudulentos en los que se suplantaba a periodistas de la agencia de prensa independiente de Asia especializada en noticias católicas (UCAN).
Más en detalle, Proofpoint ha identificado una serie de actualizaciones en los instrumentos empleados por este actor de amenazas para entregar cargas del malware PlugX. En concreto, los investigadores han encontrado una nueva variante Golang como cargador del PlugX, además de un uso constante por parte del TA416 de dicho malware en sus campañas dirigidas. En las distintas informaciones publicadas sobre el grupo se ha constatado la persistencia del mismo por modificar sus herramientas con el objetivo de frustrar cualquier intento de análisis o detección por parte de los profesionales de seguridad. Pese a que estos cambios no aumentan mucho la dificultad de atribuir campañas maliciosas al TA416, sí que hacen más complicado a los investigadores detectar y ejecutar automáticamente componentes del malware independientes dentro de la cadena de infección.
La introducción del cargador Golang y los esfuerzos de codificación para cargas útiles del PlugX sugieren que el grupo es consciente de que sus métodos y herramientas de ataque son cada vez más detectados, por lo que hacen de la adaptación constante su respuesta de cara a nuevas campañas. Este actor de amenazas sigue esforzándose en su búsqueda de objetivos en todo el mundo con la finalidad de espionaje, manteniéndose siempre al margen de conversaciones en Twitter que son bastante populares entre los investigadores de amenazas. El TA416 sigue encarnando en sí mismo el carácter persistente de los actores APT y, desde Proofpoint, distintos analistas no descartan que se sigan descubriendo nuevas acciones por su parte durante los próximos meses.