TA416 फिसिङ आक्रमण

२०२५ को मध्यदेखि, यस क्षेत्रमा लगभग दुई वर्षको कम गतिविधि पछि, युरोपेली सरकार र कूटनीतिक संस्थाहरूमा बलियो ध्यान केन्द्रित गर्दै चीन-समर्थित खतरा अभिनेता पुन: देखा परेको छ। यो अभियान TA416 लाई श्रेय दिइएको छ, जुन DarkPeony, RedDelta, Red Lich, SmugX, UNC6384, र Vertigo Panda सँग पनि सम्बन्धित खतरा समूह हो।

सञ्चालनहरूले मुख्यतया धेरै देशहरूमा युरोपेली संघ र नेटोसँग जोडिएका कूटनीतिक नियोगहरूलाई लक्षित गरेका छन्। यी अभियानहरूमा वेब बग ट्र्याकिङ र मालवेयर डेलिभरी समावेश गर्ने समन्वित तरंगहरू समावेश छन्, जसले संरचित र निरन्तर गुप्तचर-संकलन प्रयासलाई संकेत गर्दछ।

भूराजनीतिक तनावले गर्दा दायरा विस्तार हुँदै

फेब्रुअरी २०२६ मा अमेरिका-इजरायल-इरान द्वन्द्व बढेपछि मध्य पूर्वमा सरकारी र कूटनीतिक संस्थाहरू विरुद्ध अभियान सुरु गर्दै TA416 ले युरोपभन्दा बाहिर आफ्नो परिचालन पहुँच विस्तार गरेको छ।

यो विस्तारले संवेदनशील क्षेत्रीय गुप्तचर सङ्कलन गर्ने रणनीतिक प्रयासलाई प्रतिबिम्बित गर्दछ, जसले समूहको लक्षित प्राथमिकताहरू कसरी विकसित हुँदै गइरहेको भूराजनीतिक विकासहरूसँग नजिकबाट मिल्दोजुल्दो छ भनेर प्रकाश पार्छ।

ओभरल्यापिङ खतरा पारिस्थितिक प्रणाली र साझा प्रविधिहरू

TA416 ले अर्को उन्नत खतरा क्लस्टरसँग उल्लेखनीय प्राविधिक ओभरल्यापहरू साझा गर्दछ जुन सामान्यतया मुस्ताङ पाण्डा भनेर चिनिन्छ, जसलाई सेरेनाकिपर, रेड इश्तार, र UNK_SteadySplit पनि भनिन्छ। दुबै समूहहरूलाई सामूहिक रूपमा अर्थ प्रेटा, हाइभ०१५४, हनीमाइट, स्टेटली टोरस, टेम्प.एचईएक्स, र ट्विल टाइफुन जस्ता फराकिलो वर्गीकरण अन्तर्गत ट्र्याक गरिएको छ।

TA416 मुख्यतया अनुकूलित PlugX मालवेयर भेरियन्टहरूसँग सम्बन्धित छ भने, Mustang Panda ले बारम्बार TONESHELL, PUBLOAD, र COOLCLIENT जस्ता उपकरणहरू प्रयोग गर्दछ। यी भिन्नताहरूको बावजुद, दुबै समूहहरू साझा परिचालन विधिहरू प्रदर्शन गर्दै, कोर कार्यान्वयन प्रविधिको रूपमा DLL साइड-लोडिङमा धेरै निर्भर छन्।

अनुकूली संक्रमण शृङ्खला र वितरण प्रविधिहरू

TA416 ले आफ्नो संक्रमण शृङ्खलाहरू निरन्तर विकसित गर्दै उच्च स्तरको लचिलोपन प्रदर्शन गरेको छ। अभियानहरूमा अवलोकन गरिएका प्रविधिहरूमा क्लाउडफ्लेयर टर्नस्टाइल प्रमाणिकरण पृष्ठहरूको दुरुपयोग, OAuth रिडिरेक्ट संयन्त्रहरूको शोषण, र दुर्भावनापूर्ण C# परियोजना फाइलहरूको प्रयोग समावेश छ।

यो समूहले फ्रीमेल खाताहरूबाट पठाइएका फिसिङ इमेलहरू मार्फत मालवेयर वितरण गर्दछ। यी सन्देशहरूमा प्रायः माइक्रोसफ्ट एज्युर ब्लब स्टोरेज, गुगल ड्राइभ, आक्रमणकारी-नियन्त्रित डोमेनहरू, वा सम्झौता गरिएका शेयरपोइन्ट वातावरणहरू जस्ता प्लेटफर्महरूमा होस्ट गरिएका दुर्भावनापूर्ण अभिलेखहरूको लिङ्कहरू समावेश हुन्छन्।

एउटा प्रमुख जासूसी प्रविधिमा वेब बगहरू, इमेलहरूमा इम्बेड गरिएका साना अदृश्य ट्र्याकिङ तत्वहरूको प्रयोग समावेश छ। खोल्दा, यी HTTP अनुरोधहरू ट्रिगर हुन्छन् जसले प्राप्तकर्ता मेटाडेटा जस्तै IP ठेगाना, प्रयोगकर्ता एजेन्ट, र पहुँच समय उजागर गर्दछ, जसले आक्रमणकारीहरूलाई संलग्नता पुष्टि गर्न र लक्ष्यीकरणलाई परिष्कृत गर्न अनुमति दिन्छ।

OAuth दुरुपयोग र क्लाउड-आधारित मालवेयर डेलिभरी

२०२५ को अन्त्यतिर, TA416 अभियानहरूले वैध Microsoft OAuth प्रमाणीकरण अन्त्य बिन्दुहरूको लाभ उठाए। फिसिङ लिङ्कहरूमा क्लिक गर्ने पीडितहरूलाई विश्वसनीय प्रमाणीकरण प्रवाहहरू मार्फत पुन: निर्देशित गरिएको थियो र त्यसपछि तिनीहरूलाई आक्रमणकारी-नियन्त्रित पूर्वाधारमा चुपचाप फर्वार्ड गरिएको थियो जसले दुर्भावनापूर्ण पेलोडहरू होस्ट गर्दछ।

२०२६ को सुरुवातमा, समूहले गुगल ड्राइभ र सम्झौता गरिएका SharePoint उदाहरणहरू मार्फत अभिलेखहरू वितरण गरेर आफ्नो दृष्टिकोणलाई अझ परिष्कृत गर्‍यो। यी अभिलेखहरूमा दुर्भावनापूर्ण C# परियोजना फाइलहरूसँगै वैध Microsoft MSBuild कार्यान्वयनयोग्यहरू समावेश थिए, जसले गर्दा भ्रामक तर प्रभावकारी कार्यान्वयन मार्ग सिर्जना भयो।

MSBuild Exploitation र बहु-चरण पेलोड तैनाती

TA416 को संक्रमण श्रृंखलामा MSBuild उपयोगिताले महत्त्वपूर्ण भूमिका खेल्छ। कार्यान्वयन गर्दा, यसले स्वचालित रूपमा कार्य निर्देशिका भित्र परियोजना फाइलहरू पत्ता लगाउँछ र कम्पाइल गर्छ। यी आक्रमणहरूमा, दुर्भावनापूर्ण CSPROJ फाइलहरूले डाउनलोडरहरूको रूपमा काम गर्छन् जसले Base64-इन्कोडेड URL हरू डिकोड गर्छन् र थप पेलोड कम्पोनेन्टहरू पुन: प्राप्त गर्छन्।

यस प्रक्रियामा DLL साइड-लोडिङ प्याकेज डाउनलोड गर्ने, अस्थायी डाइरेक्टरीमा भण्डारण गर्ने, र PlugX मालवेयर लोड गर्ने वैध बाइनरी कार्यान्वयन गर्ने समावेश छ। यो बहु-चरणीय दृष्टिकोणले स्टिल्थलाई बढाउँछ र पत्ता लगाउने प्रक्रियालाई जटिल बनाउँछ।

प्लगएक्स ब्याकडोर क्षमता र दृढता

PlugX TA416 को सञ्चालनको एक केन्द्रीय घटक बनेको छ, डेलिभरी संयन्त्रमा भिन्नताहरूको बावजुद अभियानहरूमा निरन्तर तैनाथ गरिन्छ। मालवेयरले कमाण्ड-एन्ड-कन्ट्रोल पूर्वाधारसँग इन्क्रिप्टेड सञ्चार स्थापना गर्दछ र पत्ता लगाउनबाट बच्न कार्यान्वयन अघि एन्टी-विश्लेषण जाँचहरू गर्दछ।

यसको कार्यक्षमताले व्यापक प्रणाली नियन्त्रण र डेटा एक्सफिल्ट्रेसन सक्षम बनाउँछ। मुख्य क्षमताहरूमा समावेश छन्:

• विस्तृत प्रणाली जानकारी सङ्कलन गर्दै
• फोरेन्सिक विश्लेषणबाट बच्न आफूलाई हटाउने
• कमाण्ड सर्भरहरूसँग सञ्चार अन्तरालहरू परिमार्जन गर्दै
• थप पेलोडहरू डाउनलोड र कार्यान्वयन गर्दै
• रिमोट कन्ट्रोलको लागि रिभर्स शेल पहुँच स्थापना गर्दै

निरन्तर विकास र रणनीतिक लक्ष्यीकरण

दक्षिणपूर्वी एसिया र मंगोलियामा ध्यान केन्द्रित गरेपछि TA416 को युरोपेली लक्ष्यहरूमा फर्कनुले EU र NATO-सम्बन्धित गुप्तचर सङ्कलनमा नयाँ जोड दिने संकेत गर्दछ। साथै, मध्य पूर्वी अपरेशनहरूमा विस्तारले विश्वव्यापी द्वन्द्वहरूप्रति समूहको प्रतिक्रियाशीलतालाई जोड दिन्छ।

नक्कली प्रमाणिकरण पृष्ठहरूदेखि OAuth दुरुपयोग र MSBuild-आधारित कार्यान्वयनसम्मका प्रविधिहरूमा दोहोर्याउन धम्की दिने अभिनेताको इच्छुकताले चोरी र परिचालन प्रभावकारिताप्रति निरन्तर प्रतिबद्धता प्रदर्शन गर्दछ। यसको PlugX मालवेयरको निरन्तर परिष्करणले परिष्कृत, अनुकूली साइबर-जासूसी खतराको रूपमा यसको भूमिकालाई अझ जोड दिन्छ।