TA416 Phishing napad
Od sredine 2025. godine, nakon gotovo dvije godine smanjene aktivnosti u regiji, ponovno se pojavio akter prijetnji povezan s Kinom s jakim fokusom na europske vlade i diplomatske subjekte. Ova kampanja pripisana je TA416, skupini prijetnji povezanoj i s DarkPeonyjem, RedDeltom, Red Lichom, SmugXom, UNC6384 i Vertigo Pandom.
Operacije su prvenstveno bile usmjerene na diplomatske misije povezane s Europskom unijom i NATO-om u više zemalja. Ove kampanje sastoje se od koordiniranih valova koji uključuju praćenje web grešaka i isporuku zlonamjernog softvera, što ukazuje na strukturiran i uporan napor prikupljanja obavještajnih podataka.
Sadržaj
Širenje opsega potaknuto geopolitičkim napetostima
TA416 je proširio svoj operativni doseg izvan Europe, pokrećući kampanje protiv vladinih i diplomatskih organizacija na Bliskom istoku nakon eskalacije sukoba između SAD-a, Izraela i Irana u veljači 2026.
Ovo proširenje odražava strateški napor prikupljanja osjetljivih regionalnih obavještajnih podataka, ističući kako su prioriteti ciljanja skupine usko usklađeni s razvojem geopolitičkih događaja.
Preklapajući ekosustavi prijetnji i zajedničke tehnike
TA416 dijeli značajna tehnička preklapanja s drugim naprednim klasterom prijetnji poznatim kao Mustang Panda, također poznat kao CerenaKeeper, Red Ishtar i UNK_SteadySplit. Obje skupine se zajednički prate pod širim klasifikacijama kao što su Earth Preta, Hive0154, HoneyMyte, Stately Taurus, Temp.HEX i Twill Typhoon.
Dok se TA416 prvenstveno povezuje s prilagođenim varijantama PlugX zlonamjernog softvera, Mustang Panda često koristi alate poput TONESHELL-a, PUBLOAD-a i COOLCLIENT-a. Unatoč tim razlikama, obje skupine uvelike se oslanjaju na bočno učitavanje DLL-a kao tehniku osnovnog izvršavanja, demonstrirajući zajedničke operativne metodologije.
Adaptivni lanci infekcije i tehnike isporuke
TA416 je pokazao visok stupanj fleksibilnosti kontinuiranim razvojem svojih lanaca infekcije. Tehnike uočene u kampanjama uključuju zlouporabu stranica za provjeru Cloudflare Turnstilea, iskorištavanje mehanizama preusmjeravanja OAuth i korištenje zlonamjernih C# datoteka projekta.
Grupa distribuira zlonamjerni softver putem phishing e-poruka poslanih s besplatnih mail računa. Ove poruke često uključuju poveznice na zlonamjerne arhive smještene na platformama kao što su Microsoft Azure Blob Storage, Google Drive, domene koje kontroliraju napadači ili kompromitirana SharePoint okruženja.
Ključna tehnika izviđanja uključuje korištenje web-buba, malih nevidljivih elemenata za praćenje ugrađenih u e-poruke. Kada se otvore, oni pokreću HTTP zahtjeve koji otkrivaju metapodatke primatelja kao što su IP adresa, korisnički agent i vrijeme pristupa, omogućujući napadačima da potvrde angažman i preciziraju ciljanje.
Zloupotreba OAuth-a i isporuka zlonamjernog softvera u oblaku
Krajem 2025. godine, kampanje TA416 koristile su legitimne krajnje točke autorizacije Microsoft OAuth. Žrtve koje su klikale na phishing poveznice preusmjeravane su putem pouzdanih tokova autentifikacije prije nego što su tiho proslijeđene infrastrukturi koju kontroliraju napadači, a koja je hostirala zlonamjerne sadržaje.
Do početka 2026. godine, grupa je dodatno usavršila svoj pristup distribuirajući arhive putem Google diska i kompromitirajući SharePoint instance. Te su arhive sadržavale legitimne izvršne datoteke Microsoft MSBuilda uz zlonamjerne C# datoteke projekta, stvarajući varljiv, ali učinkovit put izvršenja.
Iskorištavanje MSBuilda i višefazno raspoređivanje korisnog tereta
Uslužni program MSBuild igra ključnu ulogu u lancu zaraze TA416. Kada se pokrene, automatski locira i kompajlira datoteke projekta unutar radnog direktorija. U tim napadima, zlonamjerne CSPROJ datoteke djeluju kao programi za preuzimanje koji dekodiraju URL-ove kodirane Base64 i dohvaćaju dodatne komponente sadržaja.
Proces uključuje preuzimanje DLL paketa za bočno učitavanje, pohranjivanje u privremeni direktorij i izvršavanje legitimne binarne datoteke koja učitava zlonamjerni softver PlugX. Ovaj višestupanjski pristup poboljšava prikrivenost i komplicira otkrivanje.
Mogućnosti i postojanost PlugX Backdoora
PlugX ostaje središnja komponenta operacija TA416, dosljedno raspoređen u kampanjama unatoč varijacijama u mehanizmima isporuke. Zlonamjerni softver uspostavlja šifriranu komunikaciju s infrastrukturom za upravljanje i kontrolu te provodi antianalitičke provjere prije izvršenja kako bi izbjegao otkrivanje.
Njegova funkcionalnost omogućuje opsežnu kontrolu sustava i izvlačenje podataka. Osnovne mogućnosti uključuju:
- Prikupljanje detaljnih informacija o sustavu
- Uklanja se kako bi izbjegao forenzičku analizu
- Izmjena komunikacijskih intervala s komandnim poslužiteljima
- Preuzimanje i izvršavanje dodatnih korisnih podataka
- Uspostavljanje pristupa obrnutoj ljusci za daljinsko upravljanje
Kontinuirana evolucija i strateško ciljanje
Povratak TA416 na europske ciljeve nakon fokusiranja na jugoistočnu Aziju i Mongoliju signalizira obnovljeni naglasak na prikupljanju obavještajnih podataka povezanih s EU i NATO-om. Istovremeno, širenje na bliskoistočne operacije naglašava sposobnost skupine da reagira na globalne sukobe.
Spremnost aktera prijetnje da ponavlja tehnike, od lažnih stranica za provjeru do zlouporabe OAuth-a i izvršavanja temeljenog na MSBuild-u, pokazuje stalnu predanost izbjegavanju i operativnoj učinkovitosti. Kontinuirano usavršavanje njihovog PlugX zlonamjernog softvera dodatno naglašava njegovu ulogu sofisticirane, prilagodljive prijetnje kibernetičkom špijunažom.
