TA416 adathalász támadás
2025 közepe óta egy Kínával együttműködő fenyegető szereplő jelent meg újra, erősen az európai kormányokra és diplomáciai szervezetekre összpontosítva, miután közel két évig csökkent a tevékenység a régióban. Ezt a kampányt a TA416-hoz kötik, egy olyan fenyegetési csoporthoz, amelyet a DarkPeony, a RedDelta, a Red Lich, a SmugX, az UNC6384 és a Vertigo Panda is összefüggésbe hozható.
A műveletek elsősorban az Európai Unióhoz és a NATO-hoz kapcsolódó diplomáciai képviseleteket célozták meg több országban. Ezek a kampányok összehangolt hullámokból állnak, amelyek webes hibák követését és rosszindulatú programok szállítását foglalják magukban, ami strukturált és kitartó hírszerzési erőfeszítésre utal.
Tartalomjegyzék
A geopolitikai feszültségek által vezérelt hatókör bővítése
A TA416 kiterjesztette működési hatókörét Európán túlra, és az amerikai-izraeli-iráni konfliktus 2026 februári eszkalációját követően kampányokat indított a közel-keleti kormányok és diplomáciai szervezetek ellen.
Ez a bővítés a bizalmas regionális hírszerzési információk gyűjtésére irányuló stratégiai erőfeszítést tükrözi, rávilágítva arra, hogy a csoport célpontjainak prioritásai szorosan illeszkednek a változó geopolitikai fejleményekhez.
Átfedő fenyegető ökoszisztémák és megosztott technikák
A TA416 jelentős technikai átfedéseket mutat egy másik fejlett fenyegetési klaszterrel, amelyet általában Mustang Panda néven ismernek, de más néven CerenaKeeper, Red Ishtar és UNK_SteadySplit néven is emlegetik. Mindkét csoportot együttesen tágabb kategóriákba sorolják, mint például Earth Preta, Hive0154, HoneyMyte, Stately Taurus, Temp.HEX és Twill Typhoon.
Míg a TA416-ot elsősorban a testreszabott PlugX kártevő-variánsokkal hozzák összefüggésbe, a Mustang Panda gyakran használ olyan eszközöket, mint a TONESHELL, a PUBLOAD és a COOLCLIENT. Ezen különbségek ellenére mindkét csoport nagymértékben támaszkodik a DLL oldalratöltésre, mint alapvető végrehajtási technikára, ami közös működési módszertanokat mutat.
Adaptív fertőzési láncok és szállítási technikák
A TA416 nagyfokú rugalmasságot mutatott a fertőzési láncok folyamatos fejlesztésével. A kampányok során megfigyelt technikák közé tartozik a Cloudflare Turnstile ellenőrző oldalakkal való visszaélés, az OAuth átirányítási mechanizmusok kihasználása és a rosszindulatú C# projektfájlok használata.
A csoport ingyenes levelezési fiókokból küldött adathalász e-maileken keresztül terjeszti a rosszindulatú programokat. Ezek az üzenetek gyakran tartalmaznak linkeket rosszindulatú archívumokhoz, amelyek olyan platformokon találhatók, mint a Microsoft Azure Blob Storage, a Google Drive, támadók által ellenőrzött domainek vagy feltört SharePoint környezetek.
Egy kulcsfontosságú felderítési technika a web poloskák, az e-mailekbe ágyazott apró, láthatatlan követőelemek használata. Megnyitáskor ezek HTTP-kéréseket indítanak el, amelyek felfedik a címzett metaadatait, például az IP-címet, a felhasználói ügynököt és a hozzáférési időt, lehetővé téve a támadók számára az elköteleződés megerősítését és a célzás finomítását.
OAuth visszaélés és felhőalapú kártevők kézbesítése
2025 végén a TA416 kampányok legitim Microsoft OAuth hitelesítési végpontokat használtak. Az adathalász linkekre kattintó áldozatokat megbízható hitelesítési folyamatokon keresztül irányították át, mielőtt csendben továbbították volna őket a támadó által ellenőrzött, rosszindulatú adatokat tároló infrastruktúrába.
2026 elejére a csoport tovább finomította megközelítését az archívumok Google Drive-on és feltört SharePoint-példányokon keresztüli terjesztésével. Ezek az archívumok legitim Microsoft MSBuild futtatható fájlokat és rosszindulatú C# projektfájlokat tartalmaztak, ami egy megtévesztő, mégis hatékony végrehajtási útvonalat hozott létre.
MSBuild kihasználása és többlépcsős hasznos teher telepítése
Az MSBuild segédprogram kritikus szerepet játszik a TA416 fertőzési láncában. Futáskor automatikusan megkeresi és lefordítja a projektfájlokat a munkakönyvtárban. Ezekben a támadásokban a rosszindulatú CSPROJ fájlok letöltőként működnek, dekódolják a Base64 kódolású URL-eket, és további hasznos komponenseket kérnek le.
A folyamat magában foglalja egy DLL oldalra betöltő csomag letöltését, egy ideiglenes könyvtárba mentését, majd egy legitim bináris fájl végrehajtását, amely betölti a PlugX kártevőt. Ez a többlépcsős megközelítés fokozza a lopakodást és bonyolítja az észlelést.
PlugX hátsó ajtó képességei és kitartása
A PlugX továbbra is a TA416 műveleteinek központi eleme, amelyet a kézbesítési mechanizmusok eltérései ellenére következetesen alkalmaznak a kampányokban. A rosszindulatú program titkosított kommunikációt létesít a parancsnoki és irányítási infrastruktúrával, és végrehajtás előtt anti-analízis ellenőrzéseket végez az észlelés elkerülése érdekében.
Funkcionalitása lehetővé teszi a kiterjedt rendszerfelügyeletet és az adatok kiszűrését. A főbb képességek a következők:
- Részletes rendszerinformációk gyűjtése
- Eltávolítja magát, hogy elkerülje a kriminalisztikai elemzést
- Kommunikációs intervallumok módosítása a parancskiszolgálókkal
- További hasznos adatok letöltése és végrehajtása
- Fordított shell hozzáférés létrehozása távoli vezérléshez
Folyamatos fejlődés és stratégiai célzás
A TA416 visszatérése az európai célpontokhoz a délkelet-ázsiai és mongóliai megosztottság után az EU-val és a NATO-val kapcsolatos hírszerzési információk gyűjtésére helyezett megújult hangsúlyt jelzi. Ezzel egyidejűleg a közel-keleti műveletekre való terjeszkedés hangsúlyozza a csoport globális konfliktusokra való reagálóképességét.
A fenyegető szereplő hajlandósága a technikák – a hamis ellenőrző oldalaktól az OAuth-alapú visszaéléseken át az MSBuild-alapú végrehajtásig – folyamatos fejlesztésére a támadások elkerülése és a működési hatékonyság iránti elkötelezettségét mutatja. A PlugX rosszindulatú program folyamatos finomítása tovább hangsúlyozza a kifinomult, adaptív kiberkémkedési fenyegetésként betöltött szerepét.
