Las empresas europeas se enfrentan a una nueva amenaza digital procedente de Asia: según la firma de ciberseguridad Proofpoint, el grupo cibercriminal identificado como TA4922, vinculado al ecosistema de habla china por indicios como metadatos en su idioma y el uso de infraestructura asociada a proveedores de la región, ha extendido sus operaciones, que inicialmente se centraban en organizaciones asiáticas, hacia países como Reino Unido, Alemania e Italia, además de Sudáfrica. Su actividad comenzó a observarse en primavera de 2025, pero experimentó un fuerte aumento y una mayor diversidad operativa entre marzo y abril de 2026, confirmando que ya no se limita a sus objetivos tradicionales. Aunque comparte características con campañas conocidas como Silver Fox o Void Arachne, los expertos lo consideran una amenaza independiente, principalmente motivada por el beneficio económico.
Para acceder a los sistemas, el grupo recurre a la ingeniería social mediante señuelos muy realistas y adaptados al contexto local: correos que imitan comunicaciones de recursos humanos, avisos de nóminas, auditorías fiscales, declaraciones de impuestos o facturas. En muchos casos, intentan trasladar la conversación desde el correo corporativo a plataformas de mensajería como WhatsApp, LINE o Microsoft Teams, donde es más difícil detectar la estafa. A esto se suma un arsenal de herramientas informáticas ampliado recientemente, entre las que destacan Atlas RAT —una puerta trasera con capacidad para robar información, capturar pantallas, grabar audio y vídeo, y registrar pulsaciones de teclado—, RomulusLoader, SilentRunLoader y ValleyRAT/Winos4.0. Además, el grupo combina su software malicioso con herramientas legítimas de administración remota como AnyDesk y SyncFuture, y se cree que utiliza modelos de inteligencia artificial para agilizar la creación de nuevos códigos dañinos.
Ante esta situación, Proofpoint advierte que la amenaza es real y requiere medidas más amplias que solo filtrar correos sospechosos, ya que el grupo se caracteriza por su rapidez y capacidad de adaptación. Aunque no se confirma que su objetivo principal sea el espionaje, las capacidades de sus herramientas podrían permitir ese uso o su venta a otros actores. Las recomendaciones para las empresas pasan por controlar qué programas se ejecutan en sus equipos, vigilar conexiones extrañas, limitar los permisos de usuario y restringir el uso de software no autorizado, con el fin de proteger sus sistemas y datos sensibles.
