Abril de 2026. Un grupo APT vinculado a China lleva semanas atacando entidades financieras indias y círculos de política exterior surcoreanos con técnicas que los analistas de ciberseguridad describen abiertamente como anticuadas. Que un actor estatal use herramientas desfasadas contra un objetivo de alto valor dice mucho, y no precisamente bien, sobre cómo Pekín calibra la amenaza que representa India.
Qué ha pasado exactamente
Según informa Dark Reading, el grupo APT conocido como Mustang Panda —también rastreado bajo los alias TA416 y Bronze President— ha ampliado su foco operativo más allá del espionaje geopolítico tradicional para apuntar directamente a organizaciones financieras indias. El vector de entrada es el de siempre: correos de spear-phishing cuidadosamente elaborados seguidos de una técnica llamada DLL sideloading, que consiste en colar una librería maliciosa haciéndola pasar por un componente legítimo de una aplicación de confianza. El payload final es un troyano de acceso remoto cuyo nombre concreto no se especifica en el material disponible, aunque el patrón encaja con el arsenal conocido del grupo.
En paralelo, y según recoge el contexto adicional consultado, otro grupo chino identificado como Silver Fox está ejecutando una campaña separada contra usuarios indios. En este caso, el anzuelo son correos de phishing que imitan notificaciones oficiales de la agencia tributaria india para distribuir ValleyRAT, un troyano modular diseñado específicamente para espionaje y robo de datos. La combinación de dos grupos distintos apuntando a India de forma simultánea —uno al sector financiero, otro a ciudadanos y contribuyentes— no parece una coincidencia operativa.
Los objetivos en Corea del Sur son de naturaleza diferente: según Dark Reading, el foco recae sobre círculos de política exterior, lo que sugiere un interés en inteligencia diplomática más que en beneficio económico. Este tipo de targeting es más coherente con el historial conocido de Mustang Panda, que ha operado históricamente contra gobiernos, ONGs y organismos relacionados con el Tíbet y el Sudeste Asiático. El giro hacia la banca india es, en ese sentido, el dato más llamativo de esta campaña.
Lo que resulta especialmente revelador, y que Dark Reading señala sin rodeos en su resumen editorial, es que las TTPs (tácticas, técnicas y procedimientos) empleadas son obsoletas. No estamos ante un actor que despliega zero-days o cadenas de explotación sofisticadas. Estamos ante un grupo que confía en que sus objetivos no tienen la madurez defensiva suficiente para detectar lo que lleva años siendo conocido públicamente.
Por qué esto importa ahora
El contexto geopolítico entre China e India no está en su mejor momento. Las tensiones fronterizas en el Himalaya, que escalaron dramáticamente en 2020 con el enfrentamiento en el valle de Galwan, nunca se resolvieron del todo. Desde entonces, India ha tomado medidas concretas en el plano digital —prohibió TikTok y decenas de aplicaciones chinas— pero la infraestructura financiera del país sigue siendo un objetivo atractivo para cualquier actor que quiera inteligencia económica o capacidad de perturbación futura.
Que Mustang Panda dirija ahora sus operaciones hacia bancos indios puede interpretarse de varias formas. La más obvia: recopilar información sobre flujos de capital, decisiones de política monetaria o vulnerabilidades sistémicas que podrían ser útiles en un escenario de escalada. La menos obvia, pero igualmente plausible: establecer acceso persistente en sistemas que hoy no son prioritarios pero que mañana podrían serlo. El espionaje financiero rara vez tiene un retorno inmediato; su valor es de largo plazo.
Para el lector europeo, y especialmente español, esto no es un problema lejano. Los grandes bancos españoles —BBVA, Santander— tienen presencia significativa en mercados emergentes, incluyendo India. Cualquier compromiso de datos en entidades financieras indias con las que operen como corresponsales o socios puede tener ramificaciones en cadena. Además, las técnicas de DLL sideloading y phishing fiscal que se usan aquí no son exclusivas de Asia: son exactamente las mismas que se han documentado en campañas contra empresas europeas.
Las TTPs anticuadas: ¿incompetencia o estrategia?
Aquí está la pregunta que me parece más interesante de toda esta historia, y que Dark Reading apunta pero no desarrolla del todo: ¿por qué un actor estatal con los recursos de China usa técnicas que cualquier analista de threat intelligence reconocería en cinco minutos?
Hay dos lecturas posibles. La primera, más caritativa con los defensores: que los equipos de seguridad de las entidades atacadas no están lo suficientemente maduros para detectar incluso ataques básicos, lo que convierte las TTPs anticuadas en perfectamente funcionales. Si el phishing funciona, no necesitas un zero-day. Esta lectura implica un problema serio de capacidad defensiva en el sector financiero indio, al menos en los segmentos que han sido objetivo.
La segunda lectura es más estratégica: Mustang Panda podría estar usando deliberadamente herramientas conocidas y atribuibles para enviar un mensaje, o simplemente para no quemar capacidades más valiosas en objetivos que considera de segundo nivel. Los grupos APT de primer nivel —como Volt Typhoon o APT41— reservan sus técnicas más sofisticadas para infraestructura crítica occidental. India, en esta jerarquía implícita, recibe el arsenal de segunda fila.
Hay un tercer factor que el contexto adicional menciona y que añade una capa de complejidad: según información recogida sobre operaciones chinas en 2026, se ha observado una reducción general en las operaciones APT chinas en el contexto de una purga interna en el Ejército Popular de Liberación (PLA). Si los cuadros más capaces están siendo investigados o reemplazados, tiene sentido que las operaciones activas sean ejecutadas por personal menos experimentado, con herramientas más antiguas y menor sofisticación táctica.
El ecosistema APT chino contra Asia: un mapa que se complica
Lo que estamos viendo en abril de 2026 no es una campaña aislada sino la superposición de al menos dos actores distintos —Mustang Panda y Silver Fox— con objetivos parcialmente solapados en la misma región geográfica. Esto merece atención porque sugiere que la coordinación entre grupos APT chinos no es total: cada uno opera con sus propias prioridades, herramientas y cadenas de mando.
Mustang Panda tiene un historial documentado que se remonta a 2017, con campañas contra gobiernos del Sudeste Asiático, organizaciones tibetanas y, más recientemente, entidades europeas vinculadas a la crisis de Ucrania. Su especialidad es la persistencia a largo plazo y la recolección de inteligencia, no el sabotaje. Silver Fox, por contraste, es un actor más centrado en el fraude y el robo de credenciales, con un perfil que algunos investigadores sitúan en la intersección entre espionaje estatal y cibercrimen con motivación financiera.
Que ambos apunten a India simultáneamente —uno al sector bancario, otro a contribuyentes individuales— crea un efecto de doble presión que dificulta la respuesta defensiva. Los equipos de seguridad de un banco no están pensando en campañas de phishing fiscal dirigidas a sus clientes particulares, y viceversa. La fragmentación del ecosistema atacante puede ser, paradójicamente, una ventaja táctica aunque no sea resultado de una coordinación deliberada.
Para Corea del Sur, el vector es diferente pero igualmente preocupante. Los círculos de política exterior son objetivos de alto valor informacional: conversaciones sobre la península coreana, relaciones con Estados Unidos, posicionamiento respecto a Taiwán. Mustang Panda no necesita hackear el Ministerio de Asuntos Exteriores si puede comprometer el portátil de un think-tanker que almacena borradores de informes de política.
Qué cabe esperar
Las próximas semanas serán clave para entender el alcance real de estas campañas. Los equipos de respuesta a incidentes de los bancos indios afectados —cuyos nombres no han sido divulgados públicamente según el material disponible— tendrán que determinar si el acceso fue de reconocimiento o si Mustang Panda logró establecer persistencia en sistemas críticos. Esa distinción cambia completamente la severidad del incidente.
En paralelo, conviene vigilar si el CERT-In indio (Indian Computer Emergency Response Team) publica algún aviso formal sobre estas campañas, algo que históricamente ha tardado en hacer. La transparencia de India en materia de ciberincidentes sigue siendo inferior a la de sus equivalentes europeos o estadounidenses, lo que complica la evaluación pública del daño real.
Lo que sí parece claro es que la combinación de tensión geopolítica activa, un sector financiero indio en plena expansión digital y la reducción de sofisticación operativa en algunos grupos APT chinos crea condiciones para más campañas de este tipo en los próximos meses. No hace falta ser especialmente sofisticado para causar daño cuando el objetivo no está mirando.
