TA416 pikšķerēšanas uzbrukums
Kopš 2025. gada vidus atkal ir parādījies ar Ķīnu saistīts draudu spēlētājs, kas pēc gandrīz diviem gadiem, kad šajā reģionā bija samazināta aktivitāte, koncentrējas uz Eiropas valdībām un diplomātiskajām iestādēm. Šī kampaņa tiek attiecināta uz TA416, draudu kopu, kas saistīta arī ar DarkPeony, RedDelta, Red Lich, SmugX, UNC6384 un Vertigo Panda.
Operācijas galvenokārt ir bijušas vērstas pret diplomātiskajām misijām, kas saistītas ar Eiropas Savienību un NATO vairākās valstīs. Šīs kampaņas sastāv no koordinētiem viļņiem, kas ietver tīmekļa kļūdu izsekošanu un ļaunprogrammatūras piegādi, kas liecina par strukturētu un pastāvīgu izlūkdienestu vākšanas darbu.
Satura rādītājs
Ģeopolitiskās spriedzes vadīta darbības jomas paplašināšana
TA416 ir paplašinājis savu operatīvo tvērumu ārpus Eiropas, uzsākot kampaņas pret valdībām un diplomātiskajām organizācijām Tuvajos Austrumos pēc ASV, Izraēlas un Irānas konflikta eskalācijas 2026. gada februārī.
Šī paplašināšanās atspoguļo stratēģiskus centienus apkopot sensitīvu reģionālo izlūkošanas informāciju, uzsverot, kā grupas mērķauditorijas atlases prioritātes ir cieši saistītas ar mainīgajām ģeopolitiskajām norisēm.
Pārklājošas apdraudējumu ekosistēmas un kopīgas metodes
TA416 ir ievērojamas tehniskas pārklāšanās ar citu progresīvu apdraudējumu klasteri, kas plašāk pazīstams kā Mustang Panda, ko dēvē arī par CerenaKeeper, Red Ishtar un UNK_SteadySplit. Abas grupas tiek kopīgi izsekotas plašākās klasifikācijās, piemēram, Earth Preta, Hive0154, HoneyMyte, Stately Taurus, Temp.HEX un Twill Typhoon.
Lai gan TA416 galvenokārt tiek saistīts ar pielāgotiem PlugX ļaunprogrammatūras variantiem, Mustang Panda bieži izmanto tādus rīkus kā TONESHELL, PUBLOAD un COOLCLIENT. Neskatoties uz šīm atšķirībām, abas grupas kā galveno izpildes metodi lielā mērā paļaujas uz DLL sānu ielādi, demonstrējot kopīgas darbības metodoloģijas.
Adaptīvās infekcijas ķēdes un piegādes metodes
TA416 ir demonstrējis augstu elastības pakāpi, nepārtraukti attīstot savas inficēšanas ķēdes. Kampaņās novērotās metodes ietver Cloudflare Turnstile verifikācijas lapu ļaunprātīgu izmantošanu, OAuth pāradresācijas mehānismu izmantošanu un ļaunprātīgu C# projektu failu izmantošanu.
Grupa izplata ļaunprogrammatūru, izmantojot pikšķerēšanas e-pastus, kas sūtīti no bezmaksas pasta kontiem. Šajos ziņojumos bieži ir iekļautas saites uz ļaunprātīgiem arhīviem, kas tiek mitināti tādās platformās kā Microsoft Azure Blob Storage, Google Drive, uzbrucēju kontrolētos domēnos vai apdraudētās SharePoint vidēs.
Galvenā izlūkošanas metode ietver tīmekļa kļūdu izmantošanu — mazus, neredzamus izsekošanas elementus, kas iegulti e-pastos. Atverot šīs kļūdas, tiek aktivizēti HTTP pieprasījumi, kas atklāj saņēmēja metadatus, piemēram, IP adresi, lietotāja aģentu un piekļuves laiku, ļaujot uzbrucējiem apstiprināt iesaisti un precizēt mērķauditorijas atlasi.
OAuth ļaunprātīga izmantošana un mākonī balstīta ļaunprogrammatūras piegāde
2025. gada beigās TA416 kampaņas izmantoja likumīgus Microsoft OAuth autorizācijas galapunktus. Cietušie, kas noklikšķināja uz pikšķerēšanas saitēm, tika novirzīti caur uzticamām autentifikācijas plūsmām, pirms klusībā tika pārsūtīti uz uzbrucēja kontrolētu infrastruktūru, kurā tika mitināti ļaunprātīgi dati.
Līdz 2026. gada sākumam grupa vēl vairāk pilnveidoja savu pieeju, izplatot arhīvus, izmantojot Google Disku un kompromitētas SharePoint instances. Šajos arhīvos bija likumīgi Microsoft MSBuild izpildfaili līdzās ļaunprātīgiem C# projekta failiem, radot maldinošu, tomēr efektīvu izpildes ceļu.
MSBuild izmantošana un daudzpakāpju lietderīgās slodzes izvietošana
MSBuild utilītai ir kritiski svarīga loma TA416 inficēšanas ķēdē. Izpildot tā automātiski atrod un kompilē projekta failus darba direktorijā. Šajos uzbrukumos ļaunprātīgi CSPROJ faili darbojas kā lejupielādētāji, kas atšifrē Base64 kodētos URL un izgūst papildu vērtuma komponentus.
Process ietver DLL sānielādes pakotnes lejupielādi, tās saglabāšanu pagaidu direktorijā un likumīga binārā faila, kas ielādē PlugX ļaunprogrammatūru, izpildi. Šī daudzpakāpju pieeja uzlabo slepenību un sarežģī atklāšanu.
PlugX Backdoor iespējas un noturība
PlugX joprojām ir TA416 operāciju centrālā sastāvdaļa, kas tiek konsekventi izmantota dažādās kampaņās, neskatoties uz atšķirībām piegādes mehānismos. Ļaunprogrammatūra izveido šifrētu saziņu ar vadības un kontroles infrastruktūru un pirms izpildes veic antianalīzes pārbaudes, lai izvairītos no atklāšanas.
Tās funkcionalitāte nodrošina plašu sistēmas kontroli un datu izvilkšanu. Galvenās iespējas ietver:
- Detalizētas sistēmas informācijas vākšana
- Noņemot sevi, lai izvairītos no kriminālistikas analīzes
- Komunikācijas intervālu mainīšana ar komandu serveriem
- Papildu vērtumu lejupielāde un izpilde
- Attālinātās vadības reversās čaulas piekļuves iestatīšana
Nepārtraukta attīstība un stratēģiska mērķtiecība
TA416 atgriešanās pie Eiropas mērķiem pēc koncentrēšanās uz Dienvidaustrumāziju un Mongoliju signalizē par atjaunotu uzsvaru uz ar ES un NATO saistītas izlūkdienestu informācijas vākšanu. Vienlaikus paplašināšanās Tuvo Austrumu operācijās uzsver grupas spēju reaģēt uz globāliem konfliktiem.
Draudu izpildītāja vēlme atkārtoti izstrādāt metodes, sākot no viltotām verifikācijas lapām līdz OAuth ļaunprātīgai izmantošanai un MSBuild balstītai izpildei, liecina par pastāvīgu apņemšanos apiet ļaunprātīgu izmantošanu un darbības efektivitāti. Pastāvīgā PlugX ļaunprogrammatūras pilnveidošana vēl vairāk uzsver tās lomu kā izsmalcinātu, adaptīvu kiberizlūkošanas apdraudējumu.
