Ataque de phishing TA416
Desde meados de 2025, um grupo de ameaças alinhado à China ressurgiu com forte foco em entidades governamentais e diplomáticas europeias, após quase dois anos de atividade reduzida na região. Essa campanha foi atribuída ao TA416, um cluster de ameaças também associado a DarkPeony, RedDelta, Red Lich, SmugX, UNC6384 e Vertigo Panda.
As operações visaram principalmente missões diplomáticas ligadas à União Europeia e à OTAN em diversos países. Essas campanhas consistem em ondas coordenadas que envolvem rastreamento de bugs na web e distribuição de malware, indicando um esforço estruturado e persistente de coleta de informações.
Índice
Ampliação do escopo impulsionada por tensões geopolíticas
O grupo TA416 ampliou seu alcance operacional para além da Europa, lançando campanhas contra organizações governamentais e diplomáticas no Oriente Médio após a escalada do conflito entre EUA, Israel e Irã em fevereiro de 2026.
Essa expansão reflete um esforço estratégico para coletar informações regionais sensíveis, destacando como as prioridades de atuação do grupo estão intimamente alinhadas com a evolução dos desenvolvimentos geopolíticos.
Ecossistemas de ameaças sobrepostos e técnicas compartilhadas
O grupo TA416 compartilha sobreposições técnicas notáveis com outro cluster de ameaças avançadas conhecido como Mustang Panda, também chamado de CerenaKeeper, Red Ishtar e UNK_SteadySplit. Ambos os grupos são rastreados coletivamente sob classificações mais amplas, como Earth Preta, Hive0154, HoneyMyte, Stately Taurus, Temp.HEX e Twill Typhoon.
Embora o TA416 esteja principalmente associado a variantes personalizadas do malware PlugX, o Mustang Panda frequentemente utiliza ferramentas como TONESHELL, PUBLOAD e COOLCLIENT. Apesar dessas diferenças, ambos os grupos dependem fortemente do carregamento lateral de DLLs como técnica principal de execução, demonstrando metodologias operacionais semelhantes.
Cadeias de infecção adaptativas e técnicas de distribuição
O grupo TA416 demonstrou um alto grau de flexibilidade ao evoluir continuamente suas cadeias de infecção. As técnicas observadas em todas as campanhas incluem o abuso das páginas de verificação do Cloudflare Turnstile, a exploração de mecanismos de redirecionamento do OAuth e o uso de arquivos de projeto C# maliciosos.
O grupo distribui malware por meio de e-mails de phishing enviados de contas de e-mail gratuitas. Essas mensagens geralmente incluem links para arquivos maliciosos hospedados em plataformas como o Microsoft Azure Blob Storage, o Google Drive, domínios controlados por atacantes ou ambientes SharePoint comprometidos.
Uma técnica fundamental de reconhecimento envolve o uso de web bugs, pequenos elementos de rastreamento invisíveis incorporados em e-mails. Quando abertos, esses elementos disparam solicitações HTTP que expõem metadados do destinatário, como endereço IP, agente do usuário e horário de acesso, permitindo que os atacantes confirmem o engajamento e refinem o direcionamento.
Abuso do OAuth e distribuição de malware baseada em nuvem
No final de 2025, as campanhas TA416 exploraram endpoints legítimos de autorização OAuth da Microsoft. As vítimas que clicavam em links de phishing eram redirecionadas por meio de fluxos de autenticação confiáveis antes de serem silenciosamente encaminhadas para uma infraestrutura controlada pelo atacante que hospedava payloads maliciosos.
No início de 2026, o grupo aprimorou ainda mais sua abordagem, distribuindo arquivos compactados via Google Drive e instâncias comprometidas do SharePoint. Esses arquivos continham executáveis legítimos do Microsoft MSBuild juntamente com arquivos de projeto C# maliciosos, criando um caminho de execução enganoso, porém eficaz.
Exploração do MSBuild e Implantação de Payload em Múltiplos Estágios
O utilitário MSBuild desempenha um papel crucial na cadeia de infecção do TA416. Quando executado, ele localiza e compila automaticamente os arquivos de projeto dentro do diretório de trabalho. Nesses ataques, arquivos CSPROJ maliciosos atuam como downloaders que decodificam URLs codificadas em Base64 e recuperam componentes adicionais do payload.
O processo envolve o download de um pacote de instalação de DLL, o armazenamento deste em um diretório temporário e a execução de um binário legítimo que carrega o malware PlugX. Essa abordagem em várias etapas aumenta o sigilo e dificulta a detecção.
Funcionalidades e persistência do backdoor PlugX
O PlugX continua sendo um componente central das operações do TA416, sendo implantado de forma consistente em todas as campanhas, apesar das variações nos mecanismos de distribuição. O malware estabelece comunicação criptografada com a infraestrutura de Comando e Controle e realiza verificações anti-análise antes da execução para evitar a detecção.
Sua funcionalidade permite amplo controle do sistema e exfiltração de dados. As principais capacidades incluem:
- Coletando informações detalhadas do sistema
- Retirando-se para evitar análise forense.
- Modificando intervalos de comunicação com servidores de comando
- Baixando e executando cargas úteis adicionais
- Estabelecer acesso reverso ao shell para controle remoto.
Evolução contínua e direcionamento estratégico
O retorno do TA416 a alvos europeus, após ter se concentrado no Sudeste Asiático e na Mongólia, sinaliza uma ênfase renovada na coleta de informações relacionadas à UE e à OTAN. Simultaneamente, a expansão para operações no Oriente Médio reforça a capacidade de resposta do grupo a conflitos globais.
A disposição do agente malicioso em aprimorar suas técnicas, que vão desde páginas de verificação falsas até abuso do OAuth e execução baseada em MSBuild, demonstra um compromisso persistente com a evasão e a eficácia operacional. O constante refinamento do malware PlugX reforça ainda mais seu papel como uma ameaça de ciberespionagem sofisticada e adaptável.
