TA416 फ़िशिंग हमला

2025 के मध्य से, चीन से संबद्ध एक खतरा समूह लगभग दो वर्षों तक क्षेत्र में कम सक्रिय रहने के बाद, यूरोपीय सरकारों और राजनयिक संस्थाओं को निशाना बनाते हुए फिर से सक्रिय हो गया है। इस अभियान का श्रेय TA416 को दिया जाता है, जो कि DarkPeony, RedDelta, Red Lich, SmugX, UNC6384 और Vertigo Panda से भी जुड़ा एक खतरा समूह है।

इन अभियानों में मुख्य रूप से कई देशों में यूरोपीय संघ और नाटो से जुड़े राजनयिक मिशनों को निशाना बनाया गया है। इन अभियानों में वेब बग ट्रैकिंग और मैलवेयर डिलीवरी जैसी समन्वित गतिविधियाँ शामिल हैं, जो एक सुनियोजित और निरंतर खुफिया जानकारी जुटाने के प्रयास का संकेत देती हैं।

भू-राजनीतिक तनावों के कारण दायरा बढ़ रहा है

TA416 ने फरवरी 2026 में अमेरिका-इजराइल-ईरान संघर्ष के बढ़ने के बाद मध्य पूर्व में सरकारी और राजनयिक संगठनों के खिलाफ अभियान शुरू करके यूरोप से परे अपनी परिचालन पहुंच का विस्तार किया है।

यह विस्तार संवेदनशील क्षेत्रीय खुफिया जानकारी एकत्र करने के रणनीतिक प्रयास को दर्शाता है, जो इस बात पर प्रकाश डालता है कि समूह की लक्ष्यीकरण प्राथमिकताएं उभरते भू-राजनीतिक घटनाक्रमों के साथ कितनी निकटता से जुड़ी हुई हैं।

परस्पर परस्पर जुड़े खतरे के पारिस्थितिकी तंत्र और साझा तकनीकें

TA416 तकनीकी रूप से एक अन्य उन्नत खतरे के समूह, जिसे आमतौर पर मस्टैंग पांडा के नाम से जाना जाता है, और जिसे सेरेनाकीपर, रेड इश्तारा और UNK_SteadySplit के नाम से भी जाना जाता है, के साथ उल्लेखनीय समानताएं रखता है। इन दोनों समूहों को सामूहिक रूप से अर्थ प्रेटा, Hive0154, हनीमाइट, स्टेटली टॉरस, टेम्प.HEX और ट्विल टाइफून जैसे व्यापक वर्गीकरणों के अंतर्गत ट्रैक किया जाता है।

हालांकि TA416 मुख्य रूप से अनुकूलित PlugX मैलवेयर वेरिएंट से जुड़ा है, वहीं Mustang Panda अक्सर TONESHELL, PUBLOAD और COOLCLIENT जैसे टूल का उपयोग करता है। इन भिन्नताओं के बावजूद, दोनों समूह निष्पादन की मुख्य तकनीक के रूप में DLL साइड-लोडिंग पर अत्यधिक निर्भर हैं, जो उनकी समान कार्यप्रणाली को दर्शाता है।

अनुकूली संक्रमण श्रृंखलाएं और वितरण तकनीकें

TA416 ने अपने संक्रमण तंत्र को लगातार विकसित करके उच्च स्तर की लचीलता प्रदर्शित की है। विभिन्न अभियानों में देखी गई तकनीकों में क्लाउडफ्लेयर टर्नस्टाइल सत्यापन पृष्ठों का दुरुपयोग, OAuth रीडायरेक्ट तंत्रों का शोषण और दुर्भावनापूर्ण C# प्रोजेक्ट फ़ाइलों का उपयोग शामिल है।

यह समूह फ्रीमेल खातों से भेजे गए फ़िशिंग ईमेल के माध्यम से मैलवेयर फैलाता है। इन संदेशों में अक्सर माइक्रोसॉफ्ट एज़्योर ब्लोब स्टोरेज, गूगल ड्राइव, हमलावर-नियंत्रित डोमेन या समझौता किए गए शेयरपॉइंट वातावरण जैसे प्लेटफार्मों पर होस्ट किए गए दुर्भावनापूर्ण संग्रहों के लिंक शामिल होते हैं।

जासूसी की एक प्रमुख तकनीक में वेब बग्स का उपयोग शामिल है, जो ईमेल में एम्बेडेड छोटे अदृश्य ट्रैकिंग तत्व होते हैं। जब इन्हें खोला जाता है, तो ये HTTP अनुरोधों को ट्रिगर करते हैं जो प्राप्तकर्ता के मेटाडेटा जैसे कि आईपी पता, उपयोगकर्ता एजेंट और एक्सेस समय को उजागर करते हैं, जिससे हमलावरों को संपर्क की पुष्टि करने और लक्ष्य को और सटीक बनाने में मदद मिलती है।

OAuth का दुरुपयोग और क्लाउड-आधारित मैलवेयर वितरण

2025 के अंत में, TA416 अभियानों ने वैध माइक्रोसॉफ्ट OAuth प्राधिकरण एंडपॉइंट्स का लाभ उठाया। फ़िशिंग लिंक पर क्लिक करने वाले पीड़ितों को विश्वसनीय प्रमाणीकरण प्रवाह के माध्यम से पुनर्निर्देशित किया गया, जिसके बाद उन्हें चुपचाप हमलावर-नियंत्रित बुनियादी ढांचे पर भेज दिया गया, जहां दुर्भावनापूर्ण पेलोड मौजूद थे।

2026 की शुरुआत तक, समूह ने Google ड्राइव और हैक किए गए SharePoint इंस्टेंसेस के माध्यम से आर्काइव वितरित करके अपने दृष्टिकोण को और परिष्कृत किया। इन आर्काइवों में वैध Microsoft MSBuild निष्पादन योग्य फ़ाइलों के साथ-साथ दुर्भावनापूर्ण C# प्रोजेक्ट फ़ाइलें भी शामिल थीं, जिससे एक भ्रामक लेकिन प्रभावी निष्पादन मार्ग तैयार हुआ।

एमएसबिल्ड एक्सप्लॉइटेशन और मल्टी-स्टेज पेलोड डिप्लॉयमेंट

TA416 संक्रमण श्रृंखला में MSBuild यूटिलिटी की महत्वपूर्ण भूमिका होती है। इसे चलाने पर, यह स्वचालित रूप से वर्किंग डायरेक्टरी के भीतर प्रोजेक्ट फ़ाइलों का पता लगाकर उन्हें कंपाइल करती है। इन हमलों में, दुर्भावनापूर्ण CSPROJ फ़ाइलें डाउनलोडर के रूप में कार्य करती हैं जो Base64-एनकोडेड URL को डिकोड करके अतिरिक्त पेलोड घटकों को प्राप्त करती हैं।

इस प्रक्रिया में एक DLL साइड-लोडिंग पैकेज डाउनलोड करना, उसे एक अस्थायी डायरेक्टरी में स्टोर करना और PlugX मैलवेयर को लोड करने वाली एक वैध बाइनरी को चलाना शामिल है। यह बहु-चरणीय दृष्टिकोण गोपनीयता को बढ़ाता है और पता लगाना मुश्किल बनाता है।

PlugX बैकडोर की क्षमताएं और निरंतरता

PlugX, TA416 के संचालन का एक केंद्रीय घटक बना हुआ है, और वितरण तंत्र में विभिन्नताओं के बावजूद इसे अभियानों में लगातार तैनात किया जाता है। यह मैलवेयर कमांड-एंड-कंट्रोल इन्फ्रास्ट्रक्चर के साथ एन्क्रिप्टेड संचार स्थापित करता है और पता लगने से बचने के लिए निष्पादन से पहले एंटी-एनालिसिस जांच करता है।

इसकी कार्यक्षमता व्यापक सिस्टम नियंत्रण और डेटा एक्सफ़िल्ट्रेशन को सक्षम बनाती है। मुख्य क्षमताओं में शामिल हैं:

• विस्तृत सिस्टम जानकारी एकत्रित करना
• फोरेंसिक विश्लेषण से बचने के लिए खुद को अलग कर लेना
• कमांड सर्वरों के साथ संचार अंतराल को संशोधित करना
• अतिरिक्त पेलोड डाउनलोड करना और उन्हें निष्पादित करना
• रिमोट कंट्रोल के लिए रिवर्स शेल एक्सेस स्थापित करना

निरंतर विकास और रणनीतिक लक्ष्यीकरण

दक्षिणपूर्व एशिया और मंगोलिया पर ध्यान केंद्रित करने के बाद TA416 का यूरोपीय लक्ष्यों की ओर लौटना यूरोपीय संघ और नाटो से संबंधित खुफिया जानकारी जुटाने पर नए सिरे से जोर देने का संकेत देता है। साथ ही, मध्य पूर्वी अभियानों में विस्तार वैश्विक संघर्षों के प्रति समूह की तत्परता को रेखांकित करता है।

इस साइबर हमलावर की तकनीकों को लगातार बेहतर बनाने की प्रवृत्ति, जिसमें नकली सत्यापन पृष्ठों से लेकर OAuth का दुरुपयोग और MSBuild-आधारित निष्पादन शामिल हैं, इसकी सुरक्षा में निरंतर सफलता और परिचालन क्षमता को दर्शाती है। इसके PlugX मैलवेयर का लगातार परिष्करण एक परिष्कृत और अनुकूलनीय साइबर जासूसी खतरे के रूप में इसकी भूमिका को और भी स्पष्ट करता है।