El grupo chino de ciberdelincuencia TA4922 amplía sus campañas de ciberdelincuencia a Europa

Un grupo de ciberdelincuentes de habla china ha ampliado sus operaciones a Europa, utilizando malware hasta ahora desconocido y la puerta trasera Atlas en ataques con fines económicos.

Conocido como TA4922, el grupo se ha centrado históricamente en organizaciones de Asia Oriental, pero sus campañas recientes se han centrado en Alemania, Italia, el Reino Unido y Sudáfrica. Según Proofpoint, el actor malicioso está utilizando señuelos de phishing muy localizados, como avisos de nóminas, auditorías fiscales, declaraciones de IVA, facturas, mensajes de cumplimiento normativo y comunicaciones de RR. HH., al tiempo que se pone en contacto con las víctimas a través de WhatsApp, LINE y Microsoft Teams.

Los investigadores afirman que TA4922 ha incrementado drásticamente su actividad desde marzo, mostrando un ritmo elevado y una variedad de objetivos. Su kit de herramientas incluye ahora Atlas RAT, RomulusLoader, SilentRunLoader y ValleyRAT, y algunos indicios sugieren que los modelos de lenguaje a gran escala podrían estar ayudando a acelerar el desarrollo del malware.

Aunque TA4922 parece tener motivaciones económicas, su malware también cuenta con capacidades de vigilancia que podrían utilizarse o venderse a grupos de espionaje.

El Reino Unido lanza una nueva estrategia de ciberseguridad energética

El Gobierno del Reino Unido ha publicado una nueva estrategia de ciberseguridad para el sector energético, advirtiendo de que el cambio hacia un sistema energético más digital, conectado y limpio está creando nuevos riesgos para las infraestructuras nacionales críticas.

Publicada por el Departamento de Seguridad Energética y Cero Emisiones Netas, la estrategia establece medidas para reforzar la resiliencia en las redes de electricidad y gas de Gran Bretaña, las cadenas de suministro y las tecnologías energéticas emergentes. Un punto clave es el riesgo de terceros, y el gobierno planea desarrollar principios de seguridad de la cadena de suministro para finales de 2026 y mejorar su capacidad para evaluar las cadenas de suministro del sector energético para 2027.

La estrategia también apunta a expectativas más estrictas para los operadores, incluyendo una revisión de los umbrales regulatorios de la NIS y posibles requisitos básicos de ciberseguridad para los proveedores de energía con licencia. DESNZ también tiene previsto llevar a cabo un ejercicio cibernético intersectorial para finales de 2026 con el fin de poner a prueba las respuestas ante un ataque sofisticado al sistema energético británico.

Un kit de herramientas de ransomware asistido por IA acelera el desarrollo de técnicas para eludir el EDR

Los investigadores han descubierto un kit de herramientas de ransomware utilizado por ciberdelincuentes que utiliza el desarrollo asistido por IA para automatizar la detección de Active Directory y probar rápidamente técnicas para eludir las herramientas de detección y respuesta en los endpoints.

Sophos encontró el marco en el entorno de un cliente después de que se activaran alertas por cargas sospechosas. El kit de herramientas incluía perfiles de Cobalt Strike diseñados para disfrazar el tráfico como solicitudes web legítimas, un mecanismo de comando y control basado en Telegram, scripts de Python para la inyección de código shell y un Cloudflare Worker utilizado para ocultar la infraestructura de backend.

Los investigadores descubrieron que se utilizaron herramientas como los agentes Cursor y Claude Opus para apoyar la codificación, el análisis, la revisión, la documentación y las pruebas. El marco también revisó investigaciones de seguridad ofensiva, asignó técnicas a MITRE ATT&CK, las reprodujo en entornos de laboratorio y probó cargas útiles contra herramientas de Sophos, CrowdStrike y Microsoft EDR.

Sophos destacó que el flujo de trabajo seguía estando dirigido por humanos, sin pruebas de que la IA operara de forma independiente en los entornos de las víctimas. Sin embargo, el caso muestra cómo la IA está acortando la brecha entre la investigación publicada y la explotación criminal.

Norsk Tipping sufre ataques DDoS consecutivos

El operador de juegos de azar estatal noruego Norsk Tipping ha sufrido un segundo ciberataque en dos días, lo que ha provocado ralentizaciones en todos sus servicios en línea.

La empresa confirmó que el incidente del miércoles por la noche fue un ataque de denegación de servicio distribuido, el mismo tipo de ataque que interrumpió los servicios la noche anterior. Norsk Tipping afirmó que el tráfico malicioso estaba saturando sus sistemas, afectando a sitios web y plataformas digitales, y que los juegos de KongKasino se encontraban entre los servicios afectados durante el incidente del martes.

El proveedor de telecomunicaciones Telenor ha estado ayudando a la empresa a filtrar el tráfico no deseado y a reducir las interrupciones. Norsk Tipping señaló que el ataque del miércoles parecía ser mayor que el primero, aunque la situación se controló más tarde esa misma noche.

Por el momento no hay información confirmada sobre quién está detrás de los ataques ni si los dos incidentes están relacionados. Aunque los ataques DDoS no suelen implicar el robo de datos, pueden causar graves interrupciones al saturar los servicios digitales con tráfico.

Sudáfrica se enfrenta a una amenaza DDoS cada vez mayor

Los recientes ataques DDoS dirigidos a proveedores de infraestructura de Internet, empresas de alojamiento y servicios de conectividad sudafricanos apuntan a una escalada más amplia de las amenazas contra la economía digital del país, según los investigadores.

Advertían de que los atacantes utilizan cada vez más campañas DDoS multivectoriales, combinando varias técnicas en un solo incidente para desbordar las defensas y maximizar las perturbaciones. Los recientes ataques contra proveedores de alojamiento y conectividad muestran cómo los autores de las amenazas se centran en organizaciones de nivel superior, donde las interrupciones pueden propagarse en cadena a miles de empresas y usuarios de nivel inferior.

En la segunda mitad de 2025, Sudáfrica ocupó el quinto lugar entre los países más atacados de la región EMEA por ataques DDoS, con 171 812 registrados entre julio y diciembre de 2025. El país también ocupó el primer lugar a nivel mundial en ataques contra varios sectores, entre ellos la banca comercial, las agencias de seguros y los servicios de diseño de sistemas informáticos.

La visibilidad en tiempo real, la mitigación basada en inteligencia y la preparación proactiva son ahora esenciales para la resiliencia.

Si te preocupan alguna de las amenazas descritas en este boletín o necesitas ayuda para determinar qué medidas debes tomar para protegerte de las amenazas más graves a las que se enfrenta tu organización, ponte en contacto con tu gestor de cuentas o, si lo prefieres, haz clic en Contacta con nosotros para saber cómo puedes proteger tu organización.

El resumen de inteligencia sobre amenazas ha sido elaborado por Integrity360 y recoge las noticias sobre amenazas tal y como las observamos, con la información actualizada a la fecha de publicación. No debe considerarse como asesoramiento jurídico, de consultoría ni de ningún otro tipo. Cualquier recomendación debe valorarse en el contexto de tu propia organización. Integrity360 no adopta ninguna postura política en la información que compartimos. Además, las opiniones expresadas no reflejan necesariamente los puntos de vista de Integrity360.