Phishingový útok TA416
Od poloviny roku 2025 se po téměř dvou letech snížené aktivity v regionu znovu objevila hrozba spojená s Čínou, která se silně zaměřuje na evropské vlády a diplomatické subjekty. Tato kampaň byla přičítána TA416, klastru hrozeb spojovanému také s DarkPeony, RedDelta, Red Lich, SmugX, UNC6384 a Vertigo Panda.
Operace se primárně zaměřily na diplomatické mise spojené s Evropskou unií a NATO v řadě zemí. Tyto kampaně se skládaly z koordinovaných vln zahrnujících sledování webových chyb a distribuci malwaru, což naznačuje strukturované a trvalé úsilí o shromažďování zpravodajských informací.
Obsah
Rozšiřující se oblast působnosti poháněná geopolitickým napětím
TA416 rozšířila svůj operační dosah i mimo Evropu a po eskalaci konfliktu mezi USA, Izraelem a Íránem v únoru 2026 zahájila kampaně proti vládním a diplomatickým organizacím na Blízkém východě.
Toto rozšíření odráží strategické úsilí o shromažďování citlivých regionálních zpravodajských informací a zdůrazňuje, jak jsou cílené priority skupiny úzce sladěny s vyvíjejícím se geopolitickým vývojem.
Překrývající se ekosystémy hrozeb a sdílené techniky
Skupina TA416 sdílí významné technické překryvy s další pokročilou skupinou hrozeb, běžně známou jako Mustang Panda, také označovanou jako CerenaKeeper, Red Ishtar a UNK_SteadySplit. Obě skupiny jsou souhrnně sledovány v rámci širších klasifikací, jako například Earth Preta, Hive0154, HoneyMyte, Stately Taurus, Temp.HEX a Twill Typhoon.
Zatímco TA416 je primárně spojován s upravenými variantami malwaru PlugX, Mustang Panda často nasazují nástroje jako TONESHELL, PUBLOAD a COOLCLIENT. Navzdory těmto rozdílům se obě skupiny silně spoléhají na boční načítání DLL jako na základní techniku provádění, což demonstruje sdílené operační metodiky.
Adaptivní infekční řetězce a techniky přenosu
TA416 prokázala vysokou míru flexibility neustálým vývojem svých infekčních řetězců. Mezi techniky pozorované v kampaních patří zneužívání ověřovacích stránek Cloudflare Turnstile, zneužívání mechanismů přesměrování OAuth a používání škodlivých souborů projektů C#.
Skupina distribuuje malware prostřednictvím phishingových e-mailů odesílaných z bezplatných e-mailových účtů. Tyto zprávy často obsahují odkazy na škodlivé archivy hostované na platformách, jako je Microsoft Azure Blob Storage, Google Drive, domény ovládané útočníkem nebo napadená prostředí SharePointu.
Klíčová průzkumná technika zahrnuje použití webových štěnic, malých neviditelných sledovacích prvků vložených do e-mailů. Po otevření tyto prvky spouštějí HTTP požadavky, které odhalují metadata příjemce, jako je IP adresa, uživatelský agent a čas přístupu, což útočníkům umožňuje potvrdit interakci a upřesnit cílení.
Zneužívání OAuth a cloudové šíření malwaru
Koncem roku 2025 kampaně TA416 využívaly legitimní autorizační koncové body Microsoft OAuth. Oběti klikající na phishingové odkazy byly přesměrovány prostřednictvím důvěryhodných autentizačních toků a poté tiše přesměrovány na infrastrukturu ovládanou útočníkem, která hostovala škodlivé datové části.
Začátkem roku 2026 skupina svůj přístup dále zdokonalila distribucí archivů prostřednictvím Disku Google a kompromitovaných instancí SharePointu. Tyto archivy obsahovaly legitimní spustitelné soubory Microsoft MSBuild spolu se škodlivými soubory projektů C#, čímž vytvořila klamnou, ale efektivní cestu ke spuštění.
Využití MSBuild a vícestupňové nasazení datových částí
Nástroj MSBuild hraje klíčovou roli v infekčním řetězci TA416. Po spuštění automaticky vyhledá a zkompiluje soubory projektu v pracovním adresáři. Při těchto útocích fungují škodlivé soubory CSPROJ jako stahovací programy, které dekódují adresy URL kódované v Base64 a načítají další komponenty datového zatížení.
Proces zahrnuje stažení balíčku DLL, jeho uložení do dočasného adresáře a spuštění legitimního binárního souboru, který načte malware PlugX. Tento vícestupňový přístup zvyšuje nenápadnost a komplikuje detekci.
Možnosti a perzistence backdoorů PlugX
PlugX zůstává ústřední součástí operací TA416 a je konzistentně nasazován napříč kampaněmi navzdory rozdílům v mechanismech doručování. Malware navazuje šifrovanou komunikaci s infrastrukturou Command-and-Control a před spuštěním provádí antianalytické kontroly, aby se vyhnul odhalení.
Jeho funkce umožňuje rozsáhlou kontrolu systému a exfiltraci dat. Mezi klíčové možnosti patří:
- Shromažďování podrobných systémových informací
- Odstranění sebe sama, aby se vyhnulo forenzní analýze
- Úprava komunikačních intervalů s velitelskými servery
- Stahování a spouštění dalších datových částí
- Zřízení reverzního přístupu k shellu pro vzdálené ovládání
Neustálý vývoj a strategické cílení
Návrat TA416 k evropským cílům po zaměření na jihovýchodní Asii a Mongolsko signalizuje obnovený důraz na shromažďování zpravodajských informací souvisejících s EU a NATO. Zároveň expanze do operací na Blízkém východě podtrhuje schopnost skupiny reagovat na globální konflikty.
Ochota útočníka iterovat na různých technikách, od falešných ověřovacích stránek až po zneužívání OAuth a spouštění založené na MSBuild, demonstruje jeho trvalý závazek k obcházení předpisů a provozní efektivitě. Neustálé zdokonalování jeho malwaru PlugX dále podtrhuje jeho roli sofistikované a adaptivní kybernetické špionážní hrozby.
