Un nuevo actor cibercriminal de habla china ha ampliado su radio de acción a Europa y ya ha intentado colarse en los sistemas de empresas en Reino Unido, Alemania e Italia. La firma de ciberseguridad Proofpoint ha identificado al grupo como TA4922 y ha documentado un arsenal de malware en expansión que podría generar pérdidas económicas sustanciales si los ataques prosperan.
Claves de la operación
- TA4922 pasa de Asia a Europa con ingeniería social. El grupo, antes centrado en organizaciones asiáticas, ha intensificado sus campañas en Reino Unido, Alemania e Italia desde marzo de 2026.
- El arsenal incluye Atlas RAT, RomulusLoader y otras piezas. Estas herramientas permiten desde el acceso remoto al robo de datos y credenciales, y se combinan con aplicaciones legítimas como AnyDesk.
- Las empresas españolas no son inmunes al riesgo. Aunque el informe no menciona a España, la capacidad de adaptación del actor y su uso de señuelos localizados obligan a reforzar la vigilancia.
El salto de Asia a Europa: un movimiento calculado
Proofpoint comenzó a monitorizar a TA4922 en campañas dirigidas contra objetivos asiáticos, pero la primavera de 2025 marcó un punto de inflexión. El grupo empezó a diversificar sus blancos, y entre marzo y abril de 2026 la actividad se disparó, con múltiples campañas detectadas en Reino Unido, Alemania e Italia, además de Sudáfrica. Esta expansión sugiere que el actor ha encontrado un modelo de ataque rentable y replicable más allá de su mercado original.
Los investigadores vinculan a TA4922 con el ecosistema cibercriminal chino por varios indicios: metadatos en chino en las muestras de malware, uso de infraestructura asociada a proveedores chinos y solapamientos con otras amenazas como Silver Fox o Void Arachne. Sin embargo, Proofpoint lo trata como un grupo independiente, motivado principalmente por el lucro económico.
El momento no es casual. La digitalización acelerada de procesos empresariales en Europa, combinada con plantillas que a menudo trabajan en remoto, ha multiplicado la superficie de ataque. Los departamentos de RRHH y finanzas, que manejan datos sensibles y transferencias, se convierten en el blanco perfecto para campañas de ingeniería social bien afinadas.
Ingeniería social a medida: el eslabón más débil
La puerta de entrada no es una vulnerabilidad de día cero, sino un mensaje convincente. TA4922 emplea señuelos localizados que imitan comunicaciones de recursos humanos, avisos de nóminas, auditorías fiscales, declaraciones de IVA o facturas. En algunos casos, incluso intenta trasladar la conversación a WhatsApp o Microsoft Teams, canales donde la ingeniería social prolifera lejos de las defensas del correo corporativo.
Esta táctica demuestra un conocimiento profundo de los procesos internos de las organizaciones y de los puntos ciegos de la seguridad perimetral. Según el informe el actor es persistente y está aprovechando modelos de lenguaje masivo para acelerar el desarrollo de malware en Python, lo que acorta los ciclos de ataque y dificulta la detección por firma.
El verdadero peligro no está solo en el malware, sino en la capacidad del grupo para operar con herramientas de uso diario y en la velocidad con la que adapta sus campañas.
Entre las herramientas desplegadas, Atlas RAT funciona como una puerta trasera con capacidad para recopilar información del sistema, listar y subir archivos, cargar módulos adicionales y ejecutar nuevas cargas. También integra funciones de vigilancia como keylogger, capturas de pantalla, acceso al portapapeles e incluso grabación de audio y vídeo mediante micrófono y cámara web. RomulusLoader, por su parte, se encarga de descargar e instalar software de administración remota como AnyDesk, aprovechando un programa legítimo para mantener un acceso persistente y difícil de rastrear.
SilentRunLoader añade una capa adicional: se orienta al robo de datos almacenados en Chrome, incluidas contraseñas, cookies e historial. Esta combinación de herramientas maliciosas con aplicaciones de confianza complica la respuesta de los equipos de seguridad, que deben distinguir entre usos autorizados y maliciosos de las mismas herramientas.
Lo que está en juego para las empresas españolas
Aunque el informe de Proofpoint no menciona a España como objetivo directo, el patrón de expansión geográfica de TA4922 y su habilidad para localizar los señuelos indican que ninguna economía europea está a salvo. La experiencia de Telefónica en 2017 con WannaCry, que paralizó miles de equipos, mostró que una crisis de ciberseguridad puede costar decenas de millones de euros y erosionar la confianza de clientes e inversores. En aquella ocasión, la rápida propagación del ransomware puso en jaque a la operadora, y la factura final, según fuentes del sector, superó los 200 millones de euros si se suman las pérdidas operativas y el coste de la remediación.
En el ecosistema actual, un incidente similar con acceso a datos financieros o nóminas podría derivar en extorsiones, sanciones regulatorias por fuga de datos personales y daño reputacional. Bruselas ya está endureciendo las obligaciones de notificación y las multas bajo NIS2 y el futuro Reglamento de Ciberresiliencia, lo que eleva el riesgo financiero para las compañías afectadas.
Desde esta redacción observamos que el modus operandi de TA4922 apunta más a objetivos económicos inmediatos que a espionaje, pero la fina línea entre ambos es difusa. Un ataque de exfiltración de datos puede venderse en mercados clandestinos o aprovecharse para operaciones de inteligencia competitiva. La posibilidad de que el grupo venda su acceso a actores con una agenda geopolítica más amplia es una hipótesis que Proofpoint mantiene abierta.
Las medidas de contención que recomienda la firma son pragmáticas: limitar el software ejecutable, vigilar las conexiones de red anómalas, reducir los privilegios locales y formar a los empleados para que identifiquen intentos de ingeniería social. Pero la velocidad de de evolución del actor —que ya emplea inteligencia artificial para crear nuevas variantes— exige una inversión constante y una cultura de seguridad que trascienda al departamento de IT.
