Rabattilbud med flere licenser
Trusseldatabase Advanced Persistent Threat (APT) TA416 Phishing-angreb

TA416 Phishing-angreb

Med Mezo i Advanced Persistent Threat (APT), Malware, Phishing
Oversæt til:

Siden midten af 2025 er en trusselsaktør med tilknytning til Kina dukket op igen med et stærkt fokus på europæiske regeringer og diplomatiske enheder, efter næsten to år med reduceret aktivitet i regionen. Denne kampagne er blevet tilskrevet TA416, en trusselsklynge, der også er forbundet med DarkPeony, RedDelta, Red Lich, SmugX, UNC6384 og Vertigo Panda.

Operationerne har primært været rettet mod diplomatiske missioner med tilknytning til Den Europæiske Union og NATO på tværs af flere lande. Disse kampagner består af koordinerede bølger, der involverer sporing af webfejl og levering af malware, hvilket indikerer en struktureret og vedvarende efterretningsindsamlingsindsats.

Udvidelse af omfang drevet af geopolitiske spændinger

TA416 har udvidet sin operationelle rækkevidde ud over Europa og har lanceret kampagner mod regerings- og diplomatiske organisationer i Mellemøsten efter eskaleringen af konflikten mellem USA, Israel og Iran i februar 2026.

Denne udvidelse afspejler en strategisk indsats for at indsamle følsom regional efterretning og fremhæver, hvordan gruppens målrettede prioriteter er tæt afstemt med den geopolitiske udvikling.

Overlappende trusselsøkosystemer og delte teknikker

TA416 deler bemærkelsesværdige tekniske overlap med en anden avanceret trusselsklynge, almindeligvis kendt som Mustang Panda, også kaldet CerenaKeeper, Red Ishtar og UNK_SteadySplit. Begge grupper spores samlet under bredere klassifikationer såsom Earth Preta, Hive0154, HoneyMyte, Stately Taurus, Temp.HEX og Twill Typhoon.

Mens TA416 primært er forbundet med tilpassede PlugX-malwarevarianter, anvender Mustang Panda ofte værktøjer som TONESHELL, PUBLOAD og COOLCLIENT. På trods af disse forskelle er begge grupper i høj grad afhængige af DLL-sideloading som en kerneeksekveringsteknik, hvilket demonstrerer fælles operationelle metoder.

Adaptive infektionskæder og leveringsteknikker

TA416 har vist en høj grad af fleksibilitet ved løbende at udvikle sine infektionskæder. Teknikker observeret på tværs af kampagner omfatter misbrug af Cloudflare Turnstile-verifikationssider, udnyttelse af OAuth-omdirigeringsmekanismer og brug af ondsindede C#-projektfiler.

Gruppen distribuerer malware via phishing-e-mails sendt fra gratis e-mail-konti. Disse beskeder indeholder ofte links til ondsindede arkiver, der hostes på platforme som Microsoft Azure Blob Storage, Google Drive, angriberkontrollerede domæner eller kompromitterede SharePoint-miljøer.

En vigtig rekognosceringsteknik involverer brugen af web bugs, små usynlige sporingselementer indlejret i e-mails. Når disse åbnes, udløser de HTTP-anmodninger, der eksponerer modtagerens metadata såsom IP-adresse, brugeragent og adgangstidspunkt, hvilket giver angribere mulighed for at bekræfte engagement og forfine målretning.

OAuth-misbrug og levering af cloudbaseret malware

I slutningen af 2025 udnyttede TA416-kampagner legitime Microsoft OAuth-godkendelsesslutpunkter. Ofre, der klikkede på phishing-links, blev omdirigeret via betroede godkendelsesflows, før de lydløst blev videresendt til en angriberkontrolleret infrastruktur, der hostede ondsindede data.

I starten af 2026 havde gruppen yderligere forfinet sin tilgang ved at distribuere arkiver via Google Drive og kompromitterede SharePoint-instanser. Disse arkiver indeholdt legitime Microsoft MSBuild-eksekverbare filer sammen med ondsindede C#-projektfiler, hvilket skabte en vildledende, men effektiv eksekveringsvej.

MSBuild-udnyttelse og flertrins-nyttelastimplementering

MSBuild-værktøjet spiller en afgørende rolle i TA416's infektionskæde. Når det køres, finder og kompilerer det automatisk projektfiler i arbejdsmappen. I disse angreb fungerer ondsindede CSPROJ-filer som downloadere, der afkoder Base64-kodede URL'er og henter yderligere nyttelastkomponenter.

Processen involverer at downloade en DLL-sideloading-pakke, gemme den i en midlertidig mappe og udføre en legitim binær fil, der indlæser PlugX-malwaren. Denne flertrinsmetode forbedrer stealth og komplicerer detektion.

PlugX bagdørsfunktioner og vedholdenhed

PlugX er fortsat en central del af TA416's operationer og implementeres konsekvent på tværs af kampagner på trods af variationer i leveringsmekanismer. Malwaren etablerer krypteret kommunikation med Command-and-Control-infrastrukturen og udfører anti-analysekontroller før udførelse for at undgå opdagelse.

Dens funktionalitet muliggør omfattende systemkontrol og dataudvinding. Kernefunktioner omfatter:

  • Indsamling af detaljerede systemoplysninger
  • Fjerner sig selv for at undgå retsmedicinsk analyse
  • Ændring af kommunikationsintervaller med kommandoservere
  • Download og udførelse af yderligere nyttelast
  • Oprettelse af omvendt shell-adgang til fjernbetjening

Kontinuerlig udvikling og strategisk målretning

TA416's tilbagevenden til europæiske mål efter at have fokuseret på Sydøstasien og Mongoliet signalerer et fornyet fokus på EU- og NATO-relateret efterretningsindsamling. Samtidig understreger ekspansionen til operationer i Mellemøsten gruppens reaktionsevne over for globale konflikter.

Trusselsaktørens villighed til at afprøve teknikker, lige fra falske verifikationssider til OAuth-misbrug og MSBuild-baseret udførelse, demonstrerer en vedvarende forpligtelse til undvigelse og operationel effektivitet. Den løbende forbedring af dens PlugX-malware understreger yderligere dens rolle som en sofistikeret, adaptiv cyberspionagetrussel.

 

Trending

Mest sete

Indlæser...