TA416 Фишинг атака
От средата на 2025 г., след близо две години намалена активност в региона, свързан с Китай хакер се появи отново със силен фокус върху европейските правителства и дипломатически организации. Тази кампания се приписва на TA416, клъстер от заплахи, свързан също с DarkPeony, RedDelta, Red Lich, SmugX, UNC6384 и Vertigo Panda.
Операциите са насочени предимно към дипломатически мисии, свързани с Европейския съюз и НАТО в множество държави. Тези кампании се състоят от координирани вълни, включващи проследяване на уеб грешки и разпространение на зловреден софтуер, което показва структурирани и постоянни усилия за събиране на разузнавателна информация.
Съдържание
Разширяване на обхвата, обусловено от геополитическото напрежение
TA416 разшири оперативния си обхват отвъд Европа, като стартира кампании срещу правителствени и дипломатически организации в Близкия изток след ескалацията на конфликта между САЩ, Израел и Иран през февруари 2026 г.
Това разширяване отразява стратегически усилия за събиране на чувствителна регионална разузнавателна информация, подчертавайки как приоритетите на групата за насочване на атаки са тясно свързани с развиващите се геополитически развития.
Припокриващи се екосистеми от заплахи и споделени техники
TA416 споделя забележителни технически припокривания с друг напреднал клъстер от заплахи, известен още като Mustang Panda, наричан още CerenaKeeper, Red Ishtar и UNK_SteadySplit. И двете групи се проследяват колективно под по-широки класификации като Earth Preta, Hive0154, HoneyMyte, Stately Taurus, Temp.HEX и Twill Typhoon.
Докато TA416 се свързва предимно с персонализирани варианти на зловреден софтуер PlugX, Mustang Panda често използва инструменти като TONESHELL, PUBLOAD и COOLCLIENT. Въпреки тези разлики, и двете групи разчитат в голяма степен на странично зареждане на DLL като основна техника за изпълнение, демонстрирайки споделени оперативни методологии.
Адаптивни вериги на инфекция и техники за доставка
TA416 демонстрира висока степен на гъвкавост, като непрекъснато развива своите вериги за заразяване. Техниките, наблюдавани в кампаниите, включват злоупотреба със страници за проверка на Cloudflare Turnstile, експлоатация на механизми за пренасочване на OAuth и използване на злонамерени C# файлове с проекти.
Групата разпространява зловреден софтуер чрез фишинг имейли, изпратени от безплатни имейл акаунти. Тези съобщения често включват връзки към злонамерени архиви, хоствани на платформи като Microsoft Azure Blob Storage, Google Drive, контролирани от хакери домейни или компрометирани среди на SharePoint.
Ключова техника за разузнаване включва използването на уеб бъгове, малки невидими елементи за проследяване, вградени в имейли. Когато бъдат отворени, те задействат HTTP заявки, които разкриват метаданни на получателя, като IP адрес, потребителски агент и време за достъп, което позволява на нападателите да потвърдят ангажираността и да прецизират насочването.
Злоупотреба с OAuth и доставка на зловреден софтуер през облака
В края на 2025 г. кампаниите TA416 използваха легитимни крайни точки за оторизация на Microsoft OAuth. Жертвите, кликващи върху фишинг връзки, бяха пренасочвани през надеждни потоци за удостоверяване, преди да бъдат тихомълком пренасочени към контролирана от хакера инфраструктура, хостваща злонамерени полезни товари.
В началото на 2026 г. групата допълнително усъвършенства подхода си, като разпространява архиви чрез Google Drive и компрометира SharePoint екземпляри. Тези архиви съдържат легитимни изпълними файлове на Microsoft MSBuild, както и злонамерени файлове на C# проекти, създавайки измамен, но ефективен път на изпълнение.
Експлоатация на MSBuild и многоетапно внедряване на полезен товар
Помощната програма MSBuild играе ключова роля във веригата за заразяване на TA416. Когато се изпълни, тя автоматично локализира и компилира файлове на проекта в работната директория. При тези атаки злонамерените CSPROJ файлове действат като програми за изтегляне, които декодират URL адреси, кодирани с Base64, и извличат допълнителни компоненти на полезния товар.
Процесът включва изтегляне на DLL пакет за странично зареждане, съхраняването му във временна директория и изпълнение на легитимен двоичен файл, който зарежда зловредния софтуер PlugX. Този многоетапен подход подобрява скритостта и усложнява откриването.
Възможности и устойчивост на задната вратичка на PlugX
PlugX остава централен компонент от операциите на TA416, като се използва постоянно в различните кампании, въпреки вариациите в механизмите за доставка. Зловредният софтуер установява криптирана комуникация с инфраструктурата за командване и контрол и извършва анти-аналитични проверки преди изпълнение, за да избегне откриването.
Функционалността му позволява обширен системен контрол и извличане на данни. Основните възможности включват:
- Събиране на подробна системна информация
- Премахва се, за да избегне криминалистичен анализ
- Промяна на интервалите за комуникация с командните сървъри
- Изтегляне и изпълнение на допълнителни полезни товари
- Установяване на обратен достъп до обвивката за дистанционно управление
Непрекъсната еволюция и стратегическо таргетиране
Завръщането на TA416 към европейски цели, след като се фокусира върху Югоизточна Азия и Монголия, сигнализира за подновен акцент върху събирането на разузнавателна информация, свързана с ЕС и НАТО. Едновременно с това, разширяването на операциите в Близкия изток подчертава способността на групата да реагира на глобални конфликти.
Готовността на злонамерената организация да усъвършенства техниките, вариращи от фалшиви страници за потвърждение до злоупотреба с OAuth и изпълнение, базирано на MSBuild, демонстрира постоянен ангажимент за избягване на нарушения и оперативна ефективност. Непрекъснатото усъвършенстване на зловредния софтуер PlugX допълнително подчертава ролята му на сложна, адаптивна заплаха за кибершпионаж.
