Attacco di phishing TA416
Dalla metà del 2025, un gruppo di hacker allineato alla Cina è riemerso, concentrandosi in particolare su enti governativi e diplomatici europei, dopo quasi due anni di attività ridotta nella regione. Questa campagna è stata attribuita a TA416, un cluster di minacce associato anche a DarkPeony, RedDelta, Red Lich, SmugX, UNC6384 e Vertigo Panda.
Le operazioni hanno preso di mira principalmente le missioni diplomatiche legate all'Unione Europea e alla NATO in diversi paesi. Queste campagne consistono in ondate coordinate che prevedono il tracciamento di bug web e la diffusione di malware, a dimostrazione di uno sforzo di raccolta di informazioni strutturato e persistente.
Sommario
L’espansione del campo d’azione è guidata dalle tensioni geopolitiche.
TA416 ha esteso il suo raggio d'azione oltre l'Europa, lanciando campagne contro organizzazioni governative e diplomatiche in Medio Oriente in seguito all'escalation del conflitto tra Stati Uniti, Israele e Iran nel febbraio 2026.
Questa espansione riflette uno sforzo strategico volto a raccogliere informazioni regionali sensibili, evidenziando come le priorità di individuazione degli obiettivi del gruppo siano strettamente allineate con gli sviluppi geopolitici in continua evoluzione.
Ecosistemi di minaccia sovrapposti e tecniche condivise
TA416 condivide notevoli sovrapposizioni tecniche con un altro cluster di minacce avanzate comunemente noto come Mustang Panda, anche chiamato CerenaKeeper, Red Ishtar e UNK_SteadySplit. Entrambi i gruppi sono monitorati collettivamente sotto classificazioni più ampie come Earth Preta, Hive0154, HoneyMyte, Stately Taurus, Temp.HEX e Twill Typhoon.
Sebbene TA416 sia principalmente associato a varianti personalizzate del malware PlugX, Mustang Panda utilizza frequentemente strumenti come TONESHELL, PUBLOAD e COOLCLIENT. Nonostante queste differenze, entrambi i gruppi si affidano in larga misura al caricamento laterale di DLL come tecnica di esecuzione principale, dimostrando metodologie operative condivise.
Catene di infezione adattive e tecniche di somministrazione
TA416 ha dimostrato un elevato grado di flessibilità evolvendo continuamente le sue catene di infezione. Le tecniche osservate nelle varie campagne includono l'abuso delle pagine di verifica di Cloudflare Turnstile, lo sfruttamento dei meccanismi di reindirizzamento OAuth e l'utilizzo di file di progetto C# dannosi.
Il gruppo distribuisce malware tramite email di phishing inviate da account di posta elettronica gratuiti. Questi messaggi spesso includono link ad archivi dannosi ospitati su piattaforme come Microsoft Azure Blob Storage, Google Drive, domini controllati dagli aggressori o ambienti SharePoint compromessi.
Una tecnica di ricognizione fondamentale prevede l'utilizzo di web bug, piccoli elementi di tracciamento invisibili incorporati nelle email. Una volta aperti, questi attivano richieste HTTP che espongono metadati del destinatario come indirizzo IP, user agent e orario di accesso, consentendo agli aggressori di confermare l'interazione e affinare il targeting.
Abuso di OAuth e diffusione di malware tramite cloud
Alla fine del 2025, le campagne TA416 hanno sfruttato endpoint di autorizzazione OAuth legittimi di Microsoft. Le vittime che cliccavano su link di phishing venivano reindirizzate attraverso flussi di autenticazione affidabili prima di essere indirizzate silenziosamente a un'infrastruttura controllata dagli aggressori che ospitava payload dannosi.
All'inizio del 2026, il gruppo ha ulteriormente perfezionato il suo approccio distribuendo archivi tramite Google Drive e istanze di SharePoint compromesse. Questi archivi contenevano eseguibili Microsoft MSBuild legittimi insieme a file di progetto C# dannosi, creando un percorso di esecuzione ingannevole ma efficace.
Sfruttamento di MSBuild e distribuzione di payload a più fasi
L'utilità MSBuild svolge un ruolo cruciale nella catena di infezione di TA416. Quando viene eseguita, individua e compila automaticamente i file di progetto all'interno della directory di lavoro. In questi attacchi, i file CSPROJ dannosi agiscono come downloader che decodificano gli URL codificati in Base64 e scaricano componenti aggiuntivi del payload.
Il processo prevede il download di un pacchetto di sideloading DLL, il suo salvataggio in una directory temporanea e l'esecuzione di un file binario legittimo che carica il malware PlugX. Questo approccio a più fasi aumenta la furtività e complica il rilevamento.
Funzionalità backdoor e persistenza di PlugX
PlugX rimane una componente centrale delle operazioni di TA416, costantemente impiegata in tutte le campagne nonostante le variazioni nei meccanismi di distribuzione. Il malware stabilisce una comunicazione crittografata con l'infrastruttura di comando e controllo ed esegue controlli anti-analisi prima dell'esecuzione per eludere il rilevamento.
La sua funzionalità consente un controllo esteso del sistema e l'esfiltrazione dei dati. Le funzionalità principali includono:
- Raccolta di informazioni dettagliate sul sistema
- Rimuoversi per eludere l'analisi forense
- Modifica degli intervalli di comunicazione con i server di comando
- Download ed esecuzione di payload aggiuntivi
- Stabilire l'accesso inverso alla shell per il controllo remoto
Evoluzione continua e targeting strategico
Il ritorno del TA416 a obiettivi europei, dopo essersi concentrato sul Sud-est asiatico e sulla Mongolia, segnala una rinnovata enfasi sulla raccolta di informazioni relative all'UE e alla NATO. Allo stesso tempo, l'espansione delle operazioni in Medio Oriente sottolinea la capacità del gruppo di reagire ai conflitti globali.
La propensione dell'attore della minaccia a perfezionare le proprie tecniche, che spaziano dalle false pagine di verifica all'abuso di OAuth e all'esecuzione basata su MSBuild, dimostra un impegno costante nell'elusione e nell'efficacia operativa. Il continuo affinamento del malware PlugX sottolinea ulteriormente il suo ruolo di minaccia di cyberspionaggio sofisticata e adattabile.
