TA416 ফিশিং আক্রমণ

২০২৫ সালের মাঝামাঝি থেকে, এই অঞ্চলে প্রায় দুই বছর কার্যকলাপ হ্রাস পাওয়ার পর, চীন-সমর্থিত একটি হুমকি সৃষ্টিকারী পক্ষ ইউরোপীয় সরকার এবং কূটনৈতিক সংস্থাগুলোকে বিশেষভাবে লক্ষ্য করে পুনরায় আবির্ভূত হয়েছে। এই অভিযানটির জন্য TA416-কে দায়ী করা হয়েছে, যা DarkPeony, RedDelta, Red Lich, SmugX, UNC6384 এবং Vertigo Panda-র সাথেও যুক্ত একটি হুমকি ক্লাস্টার।

এই অভিযানগুলো মূলত একাধিক দেশে ইউরোপীয় ইউনিয়ন এবং ন্যাটোর সাথে যুক্ত কূটনৈতিক মিশনগুলোকে লক্ষ্য করে চালানো হয়েছে। এই অভিযানগুলোতে ওয়েব বাগ ট্র্যাকিং এবং ম্যালওয়্যার সরবরাহের সমন্বিত ধারাবাহিক কার্যক্রম অন্তর্ভুক্ত, যা একটি সুসংগঠিত এবং নিরন্তর গোয়েন্দা তথ্য সংগ্রহের প্রচেষ্টার ইঙ্গিত দেয়।

ভূ-রাজনৈতিক উত্তেজনার কারণে পরিধি প্রসারিত হচ্ছে

২০২৬ সালের ফেব্রুয়ারিতে মার্কিন-ইসরায়েল-ইরান সংঘাত তীব্র হওয়ার পর, টিএ৪১৬ ইউরোপের বাইরে তার কার্যক্রমের পরিধি বিস্তৃত করেছে এবং মধ্যপ্রাচ্যের সরকারি ও কূটনৈতিক সংস্থাগুলোর বিরুদ্ধে অভিযান শুরু করেছে।

এই সম্প্রসারণটি সংবেদনশীল আঞ্চলিক গোয়েন্দা তথ্য সংগ্রহের একটি কৌশলগত প্রচেষ্টাকে প্রতিফলিত করে, যা তুলে ধরে যে গোষ্ঠীটির লক্ষ্যবস্তু নির্ধারণের অগ্রাধিকারগুলো ক্রমবিকাশমান ভূ-রাজনৈতিক ঘটনাবলীর সাথে কতটা ঘনিষ্ঠভাবে সংযুক্ত।

ওভারল্যাপিং থ্রেট ইকোসিস্টেম এবং শেয়ার্ড টেকনিক

TA416-এর সাথে আরেকটি উন্নত হুমকি গোষ্ঠীর উল্লেখযোগ্য প্রযুক্তিগত মিল রয়েছে, যা সাধারণত মুস্ট্যাং পান্ডা নামে পরিচিত এবং সেরেনাকিপার, রেড ইশতার, ও UNK_স্টেডিস্প্লিট নামেও অভিহিত হয়। এই উভয় গোষ্ঠীকে সম্মিলিতভাবে আর্থ প্রেটা, হাইভ০১৫৪, হানি মাইট, স্টেটলি টরাস, টেম্প.হেক্স, এবং টুইল টাইফুন-এর মতো বৃহত্তর শ্রেণিবিন্যাসের অধীনে ট্র্যাক করা হয়।

যদিও TA416 প্রধানত কাস্টমাইজড PlugX ম্যালওয়্যার ভ্যারিয়েন্টের সাথে যুক্ত, Mustang Panda প্রায়শই TONESHELL, PUBLOAD, এবং COOLCLIENT-এর মতো টুল ব্যবহার করে থাকে। এই পার্থক্যগুলো থাকা সত্ত্বেও, উভয় গোষ্ঠীই মূল এক্সিকিউশন কৌশল হিসেবে DLL সাইড-লোডিংয়ের উপর ব্যাপকভাবে নির্ভর করে, যা তাদের অভিন্ন কার্যপ্রণালী প্রদর্শন করে।

অভিযোজিত সংক্রমণ শৃঙ্খল এবং বিতরণ কৌশল

TA416 তার সংক্রমণ শৃঙ্খলকে ক্রমাগত বিকশিত করার মাধ্যমে উচ্চ মাত্রার নমনীয়তা প্রদর্শন করেছে। বিভিন্ন ক্যাম্পেইনে পরিলক্ষিত কৌশলগুলোর মধ্যে রয়েছে ক্লাউডফ্লেয়ার টার্নস্টাইল ভেরিফিকেশন পেজের অপব্যবহার, OAuth রিডাইরেক্ট পদ্ধতির শোষণ এবং ক্ষতিকারক C# প্রজেক্ট ফাইলের ব্যবহার।

এই গোষ্ঠীটি ফ্রিমেইল অ্যাকাউন্ট থেকে পাঠানো ফিশিং ইমেইলের মাধ্যমে ম্যালওয়্যার ছড়ায়। এই বার্তাগুলিতে প্রায়শই মাইক্রোসফ্ট অ্যাজুর ব্লব স্টোরেজ, গুগল ড্রাইভ, আক্রমণকারী-নিয়ন্ত্রিত ডোমেইন বা হ্যাক হওয়া শেয়ারপয়েন্ট এনভায়রনমেন্টের মতো প্ল্যাটফর্মে হোস্ট করা ক্ষতিকারক আর্কাইভের লিঙ্ক থাকে।

একটি প্রধান তথ্য সংগ্রহ কৌশলের মধ্যে রয়েছে ওয়েব বাগ ব্যবহার করা, যা হলো ইমেইলের মধ্যে এমবেড করা ছোট অদৃশ্য ট্র্যাকিং উপাদান। এগুলো খোলা হলে, HTTP রিকোয়েস্ট চালু হয় যা প্রাপকের মেটাডেটা যেমন আইপি অ্যাড্রেস, ইউজার এজেন্ট এবং অ্যাক্সেস টাইম প্রকাশ করে দেয়, ফলে আক্রমণকারীরা এনগেজমেন্ট নিশ্চিত করতে এবং টার্গেটিং আরও নিখুঁত করতে পারে।

OAuth অপব্যবহার এবং ক্লাউড-ভিত্তিক ম্যালওয়্যার ডেলিভারি

২০২৫ সালের শেষের দিকে, TA416 ক্যাম্পেইনগুলো বৈধ মাইক্রোসফট OAuth অথরাইজেশন এন্ডপয়েন্ট ব্যবহার করেছিল। ফিশিং লিঙ্কে ক্লিক করা ভুক্তভোগীদের বিশ্বস্ত অথেন্টিকেশন ফ্লো-এর মাধ্যমে পুনঃনির্দেশিত করা হতো এবং এরপর নীরবে আক্রমণকারীর-নিয়ন্ত্রিত অবকাঠামোতে পাঠিয়ে দেওয়া হতো, যেখানে ক্ষতিকারক পেলোড হোস্ট করা থাকত।

২০২৬ সালের শুরুর দিকে, দলটি গুগল ড্রাইভ এবং হ্যাক হওয়া শেয়ারপয়েন্ট ইনস্ট্যান্সের মাধ্যমে আর্কাইভ বিতরণ করে তাদের কৌশলকে আরও পরিশীলিত করে। এই আর্কাইভগুলোতে বৈধ মাইক্রোসফট এমএসবিল্ড এক্সিকিউটেবলের পাশাপাশি ক্ষতিকারক সি# প্রজেক্ট ফাইলও ছিল, যা একটি প্রতারণামূলক কিন্তু কার্যকর এক্সিকিউশন পথ তৈরি করেছিল।

MSBuild এক্সপ্লয়টেশন এবং মাল্টি-স্টেজ পেলোড ডিপ্লয়মেন্ট

TA416-এর সংক্রমণ শৃঙ্খলে MSBuild ইউটিলিটি একটি অত্যন্ত গুরুত্বপূর্ণ ভূমিকা পালন করে। এটি চালু হলে, ওয়ার্কিং ডিরেক্টরির মধ্যে থাকা প্রোজেক্ট ফাইলগুলো স্বয়ংক্রিয়ভাবে খুঁজে বের করে এবং কম্পাইল করে। এই ধরনের আক্রমণে, ক্ষতিকারক CSPROJ ফাইলগুলো ডাউনলোডার হিসেবে কাজ করে, যা Base64-এনকোডেড URL ডিকোড করে এবং অতিরিক্ত পেলোড উপাদান সংগ্রহ করে।

এই প্রক্রিয়ার মধ্যে রয়েছে একটি ডিএলএল সাইড-লোডিং প্যাকেজ ডাউনলোড করা, সেটিকে একটি অস্থায়ী ডিরেক্টরিতে সংরক্ষণ করা এবং একটি বৈধ বাইনারি এক্সিকিউট করা যা প্লাগএক্স ম্যালওয়্যারটি লোড করে। এই বহু-পর্যায়ের পদ্ধতিটি গোপনীয়তা বাড়ায় এবং শনাক্তকরণকে আরও জটিল করে তোলে।

PlugX ব্যাকডোরের সক্ষমতা এবং স্থায়িত্ব

ডেলিভারি পদ্ধতির ভিন্নতা সত্ত্বেও, PlugX টিএ৪১৬ (TA416)-এর কার্যক্রমের একটি কেন্দ্রীয় উপাদান হিসেবে ধারাবাহিকভাবে ব্যবহৃত হয়ে আসছে। এই ম্যালওয়্যারটি শনাক্তকরণ এড়ানোর জন্য, কার্যকর হওয়ার আগে কমান্ড-অ্যান্ড-কন্ট্রোল পরিকাঠামোর সাথে এনক্রিপ্টেড যোগাযোগ স্থাপন করে এবং অ্যান্টি-অ্যানালাইসিস চেক সম্পাদন করে।

এর কার্যকারিতা ব্যাপক সিস্টেম নিয়ন্ত্রণ এবং ডেটা পাচার সক্ষম করে। মূল সক্ষমতাগুলোর মধ্যে রয়েছে:

• বিস্তারিত সিস্টেম তথ্য সংগ্রহ করা
• ফরেনসিক বিশ্লেষণ এড়াতে নিজেকে সরিয়ে ফেলা
• কমান্ড সার্ভারগুলির সাথে যোগাযোগের ব্যবধান পরিবর্তন করা
• অতিরিক্ত পেলোড ডাউনলোড এবং কার্যকর করা
• রিমোট কন্ট্রোলের জন্য রিভার্স শেল অ্যাক্সেস স্থাপন করা

ক্রমাগত বিবর্তন এবং কৌশলগত লক্ষ্য নির্ধারণ

দক্ষিণ-পূর্ব এশিয়া ও মঙ্গোলিয়ার ওপর মনোযোগ কেন্দ্রীভূত করার পর টিএ৪১৬-এর ইউরোপীয় লক্ষ্যবস্তুতে ফিরে আসা, ইইউ এবং ন্যাটো-সম্পর্কিত গোয়েন্দা তথ্য সংগ্রহের ওপর নতুন করে গুরুত্ব আরোপের ইঙ্গিত দেয়। একই সাথে, মধ্যপ্রাচ্যের কার্যক্রমে সম্প্রসারণ বৈশ্বিক সংঘাতের প্রতি গোষ্ঠীটির তৎপরতাকেই তুলে ধরে।

ভুয়া ভেরিফিকেশন পেজ থেকে শুরু করে OAuth অপব্যবহার এবং MSBuild-ভিত্তিক এক্সিকিউশন পর্যন্ত বিভিন্ন কৌশল বারবার উন্নত করার ক্ষেত্রে হুমকিদাতার সদিচ্ছা, ফাঁকি দেওয়া এবং কার্যকর কার্যক্রমে তার অবিচল অঙ্গীকারকেই প্রমাণ করে। এর PlugX ম্যালওয়্যারের ক্রমাগত পরিমার্জন একটি অত্যাধুনিক ও অভিযোজনক্ষম সাইবার-গুপ্তচরবৃত্তির হুমকি হিসেবে এর ভূমিকাকে আরও জোরালোভাবে তুলে ধরে।