Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Amenaça persistent avançada (APT) Atac de phishing TA416

Atac de phishing TA416

El Mezo el Amenaça persistent avançada (APT), Programari maliciós, Phishing
Traduir a:

Des de mitjans del 2025, un actor d'amenaces alineat amb la Xina ha tornat a aparèixer amb un fort enfocament en les entitats governamentals i diplomàtiques europees, després de gairebé dos anys de reducció de l'activitat a la regió. Aquesta campanya s'ha atribuït a TA416, un clúster d'amenaces també associat amb DarkPeony, RedDelta, Red Lich, SmugX, UNC6384 i Vertigo Panda.

Les operacions s'han dirigit principalment a missions diplomàtiques connectades amb la Unió Europea i l'OTAN en múltiples països. Aquestes campanyes consisteixen en onades coordinades que impliquen el seguiment d'errors web i el lliurament de programari maliciós, cosa que indica un esforç de recopilació d'intel·ligència estructurat i persistent.

Ampliació de l’abast impulsada per les tensions geopolítiques

TA416 ha ampliat el seu abast operatiu més enllà d'Europa, llançant campanyes contra organitzacions governamentals i diplomàtiques a l'Orient Mitjà després de l'escalada del conflicte entre els Estats Units, Israel i l'Iran el febrer de 2026.

Aquesta expansió reflecteix un esforç estratègic per recopilar informació regional sensible, destacant com les prioritats d'orientació del grup estan estretament alineades amb l'evolució dels desenvolupaments geopolítics.

Ecosistemes d’amenaces superposats i tècniques compartides

El TA416 comparteix notables coincidències tècniques amb un altre clúster d'amenaces avançades conegut comunament com a Mustang Panda, també anomenat CerenaKeeper, Red Ishtar i UNK_SteadySplit. Tots dos grups es rastregen col·lectivament sota classificacions més àmplies com ara Earth Preta, Hive0154, HoneyMyte, Stately Taurus, Temp.HEX i Twill Typhoon.

Tot i que el TA416 s'associa principalment amb variants personalitzades de programari maliciós PlugX, el Mustang Panda implementa freqüentment eines com ara TONESHELL, PUBLOAD i COOLCLIENT. Malgrat aquestes diferències, ambdós grups depenen en gran mesura de la càrrega lateral de DLL com a tècnica d'execució principal, demostrant metodologies operatives compartides.

Cadenes d’infecció adaptatives i tècniques d’administració

TA416 ha demostrat un alt grau de flexibilitat mitjançant l'evolució contínua de les seves cadenes d'infecció. Les tècniques observades a les campanyes inclouen l'abús de les pàgines de verificació de Cloudflare Turnstile, l'explotació dels mecanismes de redirecció OAuth i l'ús de fitxers de projecte C# maliciosos.

El grup distribueix programari maliciós a través de correus electrònics de phishing enviats des de comptes de correu gratuïts. Aquests missatges sovint inclouen enllaços a arxius maliciosos allotjats en plataformes com ara Microsoft Azure Blob Storage, Google Drive, dominis controlats per atacants o entorns de SharePoint compromesos.

Una tècnica clau de reconeixement implica l'ús de web bugs, petits elements de seguiment invisibles integrats als correus electrònics. Quan s'obren, activen sol·licituds HTTP que exposen metadades del destinatari com ara l'adreça IP, l'agent d'usuari i el temps d'accés, cosa que permet als atacants confirmar la interacció i refinar la segmentació.

Abús d’OAuth i distribució de programari maliciós basat en el núvol

A finals del 2025, les campanyes de TA416 van aprofitar els punts finals d'autorització legítims de Microsoft OAuth. Les víctimes que feien clic als enllaços de phishing eren redirigides a través de fluxos d'autenticació de confiança abans de ser reenviades silenciosament a una infraestructura controlada per l'atacant que allotjava càrregues útils malicioses.

A principis del 2026, el grup va perfeccionar encara més el seu enfocament distribuint arxius a través de Google Drive i instàncies de SharePoint compromeses. Aquests arxius contenien executables legítims de Microsoft MSBuild juntament amb fitxers de projecte C# maliciosos, creant una via d'execució enganyosa però eficaç.

Explotació de MSBuild i desplegament de càrrega útil en diverses etapes

La utilitat MSBuild juga un paper fonamental en la cadena d'infecció de TA416. Quan s'executa, localitza i compila automàticament els fitxers del projecte dins del directori de treball. En aquests atacs, els fitxers CSPROJ maliciosos actuen com a descarregadors que descodifiquen les URL codificades en Base64 i recuperen components de càrrega addicionals.

El procés implica descarregar un paquet DLL de càrrega lateral, emmagatzemar-lo en un directori temporal i executar un binari legítim que carrega el programari maliciós PlugX. Aquest enfocament de diverses etapes millora la discreció i complica la detecció.

Capacitats i persistència de la porta posterior de PlugX

PlugX continua sent un component central de les operacions de TA416, implementat de manera consistent a través de campanyes malgrat les variacions en els mecanismes de lliurament. El programari maliciós estableix una comunicació xifrada amb la infraestructura de comandament i control i realitza comprovacions antianàlisi abans de l'execució per evadir la detecció.

La seva funcionalitat permet un control ampli del sistema i l'exfiltració de dades. Les capacitats principals inclouen:

  • Recopilació d'informació detallada del sistema
  • Eliminant-se per evadir l'anàlisi forense
  • Modificació dels intervals de comunicació amb els servidors d'ordres
  • Descàrrega i execució de càrregues útils addicionals
  • Establiment d'accés invers a l'intèrpret d'ordres per al control remot

Evolució contínua i orientació estratègica

El retorn del TA416 als objectius europeus després de centrar-se al sud-est asiàtic i Mongòlia indica un èmfasi renovat en la recopilació d'intel·ligència relacionada amb la UE i l'OTAN. Alhora, l'expansió a les operacions de l'Orient Mitjà subratlla la capacitat de resposta del grup als conflictes globals.

La disposició de l'actor de les amenaces a iterar en tècniques, que van des de pàgines de verificació falses fins a l'abús d'OAuth i l'execució basada en MSBuild, demostra un compromís persistent amb l'evasió i l'eficàcia operativa. El refinament continu del seu programari maliciós PlugX subratlla encara més el seu paper com a amenaça de ciberespionatge sofisticada i adaptativa.

 

Tendència

Estafa de correu electrònic El vostre núvol està...

Phishing, Correu brossa
Els correus electrònics inesperats, especialment aquells que creen urgència o preocupació, sempre s'han d'abordar amb precaució. Els ciberdelinqüents sovint disfressen els missatges fraudulents de notificacions legítimes per enganyar els destinataris perquè prenguin mesures perjudicials. És important emfatitzar que les estafes com els correus electrònics "El vostre núvol està desactivat" no...

Més vist

Carregant...