TA416 Phishingaanval
Sinds medio 2025 is een aan China gelieerde dreigingsgroep opnieuw opgedoken, met een sterke focus op Europese overheden en diplomatieke instanties, na bijna twee jaar van verminderde activiteit in de regio. Deze campagne wordt toegeschreven aan TA416, een dreigingscluster dat ook in verband wordt gebracht met DarkPeony, RedDelta, Red Lich, SmugX, UNC6384 en Vertigo Panda.
De operaties waren voornamelijk gericht op diplomatieke missies die verbonden zijn aan de Europese Unie en de NAVO in meerdere landen. Deze campagnes bestonden uit gecoördineerde aanvallen met behulp van webbugs en de verspreiding van malware, wat wijst op een gestructureerde en aanhoudende poging tot inlichtingenvergaring.
Inhoudsopgave
Uitbreiding van het werkterrein als gevolg van geopolitieke spanningen
TA416 heeft zijn operationele bereik buiten Europa uitgebreid en is na de escalatie van het conflict tussen de VS, Israël en Iran in februari 2026 campagnes gestart tegen regeringen en diplomatieke organisaties in het Midden-Oosten.
Deze uitbreiding weerspiegelt een strategische inspanning om gevoelige regionale inlichtingen te verzamelen en benadrukt hoe de prioriteiten van de groep nauw aansluiten bij de zich ontwikkelende geopolitieke ontwikkelingen.
Overlappende dreigingsecosystemen en gedeelde technieken
TA416 vertoont opmerkelijke technische overeenkomsten met een andere geavanceerde dreigingscluster die algemeen bekend staat als Mustang Panda, ook wel CerenaKeeper, Red Ishtar en UNK_SteadySplit genoemd. Beide groepen worden gezamenlijk gevolgd onder bredere classificaties zoals Earth Preta, Hive0154, HoneyMyte, Stately Taurus, Temp.HEX en Twill Typhoon.
Hoewel TA416 voornamelijk wordt geassocieerd met aangepaste PlugX-malwarevarianten, gebruikt Mustang Panda vaak tools zoals TONESHELL, PUBLOAD en COOLCLIENT. Ondanks deze verschillen maken beide groepen veelvuldig gebruik van DLL-sideloading als kernuitvoeringstechniek, wat wijst op gedeelde operationele methoden.
Adaptieve infectieketens en toedieningstechnieken
TA416 heeft een hoge mate van flexibiliteit getoond door zijn infectieketens voortdurend te ontwikkelen. Technieken die in verschillende campagnes zijn waargenomen, omvatten misbruik van Cloudflare Turnstile-verificatiepagina's, exploitatie van OAuth-redirectmechanismen en het gebruik van kwaadaardige C#-projectbestanden.
De groep verspreidt malware via phishing-e-mails die worden verzonden vanaf gratis e-mailaccounts. Deze berichten bevatten vaak links naar kwaadaardige archieven die worden gehost op platforms zoals Microsoft Azure Blob Storage, Google Drive, door aanvallers beheerde domeinen of gecompromitteerde SharePoint-omgevingen.
Een belangrijke verkenningsmethode maakt gebruik van webbugs, kleine, onzichtbare tracking-elementen die in e-mails zijn ingebed. Wanneer deze worden geopend, activeren ze HTTP-verzoeken die metadata van de ontvanger blootleggen, zoals IP-adres, user agent en toegangstijd. Hierdoor kunnen aanvallers de interactie bevestigen en hun doelwitten verfijnen.
Misbruik van OAuth en verspreiding van malware via de cloud
Eind 2025 maakten TA416-campagnes gebruik van legitieme Microsoft OAuth-autorisatie-eindpunten. Slachtoffers die op phishinglinks klikten, werden via vertrouwde authenticatiestromen omgeleid voordat ze stilletjes werden doorgestuurd naar een door de aanvaller beheerde infrastructuur die kwaadaardige payloads hostte.
Begin 2026 verfijnde de groep haar aanpak verder door archieven te verspreiden via Google Drive en gehackte SharePoint-servers. Deze archieven bevatten legitieme Microsoft MSBuild-uitvoerbare bestanden naast kwaadaardige C#-projectbestanden, waardoor een misleidend maar effectief uitvoeringspad ontstond.
MSBuild-exploitatie en implementatie van payloads in meerdere fasen
Het MSBuild-hulpprogramma speelt een cruciale rol in de infectieketen van TA416. Wanneer het wordt uitgevoerd, lokaliseert en compileert het automatisch projectbestanden in de werkmap. Bij deze aanvallen fungeren kwaadaardige CSPROJ-bestanden als downloaders die Base64-gecodeerde URL's decoderen en aanvullende payloadcomponenten ophalen.
Het proces omvat het downloaden van een DLL-sideloadingpakket, het opslaan ervan in een tijdelijke map en het uitvoeren van een legitiem binair bestand dat de PlugX-malware laadt. Deze meerstapsaanpak verbetert de onzichtbaarheid en bemoeilijkt detectie.
PlugX-achterdeurmogelijkheden en persistentie
PlugX blijft een centraal onderdeel van de activiteiten van TA416 en wordt consequent ingezet in verschillende campagnes, ondanks variaties in de verspreidingsmechanismen. De malware legt versleutelde communicatie tot stand met de command-and-control-infrastructuur en voert anti-analysecontroles uit vóór de uitvoering om detectie te omzeilen.
De functionaliteit ervan maakt uitgebreide systeemcontrole en data-exfiltratie mogelijk. De belangrijkste mogelijkheden zijn:
- Gedetailleerde systeeminformatie verzamelen
- Zichzelf terugtrekken om forensisch onderzoek te ontwijken.
- Het wijzigen van communicatie-intervallen met commandoservers
- Het downloaden en uitvoeren van extra payloads
- Toegang tot een reverse shell verkrijgen voor besturing op afstand
Continue evolutie en strategische doelstellingen
De terugkeer van TA416 naar Europese doelen, na zich eerder te hebben gericht op Zuidoost-Azië en Mongolië, duidt op een hernieuwde nadruk op het verzamelen van inlichtingen met betrekking tot de EU en de NAVO. Tegelijkertijd onderstreept de uitbreiding naar operaties in het Midden-Oosten het vermogen van de groep om adequaat te reageren op wereldwijde conflicten.
De bereidheid van de aanvaller om technieken te blijven ontwikkelen, variërend van nepverificatiepagina's tot OAuth-misbruik en uitvoering via MSBuild, toont een aanhoudende focus op ontwijking en operationele effectiviteit. De voortdurende verfijning van de PlugX-malware onderstreept bovendien de rol ervan als een geavanceerde, adaptieve cyber-spionage-dreiging.
