El equipo de investigación de amenazas de Proofpoint ha analizado algunas de las campañas observadas entre octubre de 2024 y abril de 2025 atribuidas a este grupo, en las que utiliza una gran variedad de cuentas de email diferentes para realizar sus operaciones, incluidas algunas comprometidas de los gobiernos de Pakistán, Bangladesh y Madagascar. También se ha hecho pasar por entidades del Gobierno chino, el Ministerio de Asuntos Exteriores de la República de Corea y la Oficina de Asuntos Exteriores en Pekín, por nombrar algunas.
Como otros grupos centrados en el espionaje, TA397 suele operar en los ámbitos de la política, la diplomacia, el comercio, la inversión y la defensa. Una de las campañas, por ejemplo, aprovecho que el presidente de Corea del Sur instauró la ley marcial en diciembre de 2024 con contenidos de actualidad que el destinatario probablemente vería en su bandeja de entrada.
La mayoría de acciones llevadas a cabo por TA397 simplemente contenían mensajes de texto sin formato en los que el grupo se hacía pasar por una organización gubernamental legítima, con un archivo adjunto malicioso o un enlace adjunto, lo que demuestra una falta general de madurez en phishing en comparación con muchos otros grupos respaldados por estados.
Aun así, los correos electrónicos de spearphishing siguen siendo la técnica preferida de TA397 para el acceso inicial, demostrando un cierto grado de flexibilidad en su evolución. Como muestra de ello, a finales de 2024, poco después del uso de flujos de datos alternativos en los sistemas de archivos NTFS, Proofpoint observó que TA397 utilizaba los archivos Microsoft Search Connector (MSC), que permiten a los usuarios conectarse con datos almacenados en servicios web o ubicaciones de almacenamiento remotas. Esta era una nueva táctica del grupo para colocar y ejecutar archivos LNK en la máquina infectada y crear tareas programadas.
La investigación de Proofpoint indica que los operadores de TA397 respondían a estas solicitudes de tareas programadas en curso con comandos manuales, emitiendo uno que enumeraba la máquina objetivo y enviaba una solicitud POST con información de la máquina infectada. TA397 se abstiene asimismo de soltar cargas en siguientes etapas en función de la información del sistema proporcionada en la máquina infectada. Los investigadores de amenazas creen que es probable que el nombre del ordenador y los datos enviados al dominio de preparación dentro de las tareas programadas se sometan a algún tipo de filtrado previo.
“Puede que TA397 carezca de unas capacidades avanzadas, pero el grupo es muy activo y ejecuta campañas frecuentes y consistentes. Aunque tiene una metodología probada, puede experimentar con nuevas cadenas de infección para eludir las detecciones o explotar vulnerabilidades”, señalan los investigadores de amenazas de Proofpoint. “Aun así, el vector de acceso inicial de TA397 es el spearphishing por correo electrónico, la amplitud de cargas de malware observadas en el grupo es significativa y sus criterios de selección revelan su naturaleza altamente específica de ciberespionaje”.
Las tareas programadas resultantes de TA397, los patrones de URL de PHP, la inclusión del nombre del ordenador y el nombre de usuario de la víctima en la baliza y los certificados Let's Encrypt en los servidores de los atacantes proporcionan una huella digital de alta confianza para detectar la actividad del grupo. Sus ciberdelincuentes se aprovechan de su buen conocimiento de los asuntos legítimos y las prácticas habituales de los gobiernos de países objetivo. También hay un solapamiento de herramientas con otros grupos maliciosos conocidos, Mysterious Elephant/APT-K-47 y Confucius, lo que sugiere que TA397 forma parte de un ecosistema de intercambio de herramientas entre ciberdelincuentes respaldados por India. Sin embargo, se necesita más investigación para determinar si estos grupos operan con acceso a recursos de desarrollo internos o externos a las organizaciones a las que pertenecen.