Фишинговая атака TA416
С середины 2025 года, после почти двух лет снижения активности в регионе, вновь появился связанный с Китаем субъект, активно атакующий европейские правительственные и дипломатические структуры. Эта кампания приписывается группе угроз TA416, также известной как DarkPeony, RedDelta, Red Lich, SmugX, UNC6384 и Vertigo Panda.
Операции были направлены в основном против дипломатических представительств, связанных с Европейским союзом и НАТО, в различных странах. Эти кампании представляют собой скоординированные волны, включающие отслеживание веб-жучков и распространение вредоносного ПО, что свидетельствует о структурированной и постоянной работе по сбору разведывательной информации.
Оглавление
Расширение масштабов деятельности обусловлено геополитической напряженностью.
После эскалации американо-израильско-иранского конфликта в феврале 2026 года TA416 расширила сферу своей оперативной деятельности за пределы Европы, начав кампании против правительственных и дипломатических организаций на Ближнем Востоке.
Это расширение отражает стратегические усилия по сбору конфиденциальной региональной разведывательной информации, подчеркивая, насколько приоритеты группы в отношении целевых объектов тесно связаны с развивающимися геополитическими событиями.
Пересекающиеся экосистемы угроз и общие методы
TA416 имеет заметные технические сходства с другим кластером продвинутых угроз, широко известным как Mustang Panda, также называемым CerenaKeeper, Red Ishtar и UNK_SteadySplit. Обе группы отслеживаются в рамках более широких классификаций, таких как Earth Preta, Hive0154, HoneyMyte, Stately Taurus, Temp.HEX и Twill Typhoon.
В то время как TA416 в основном ассоциируется с модифицированными вариантами вредоносного ПО PlugX, Mustang Panda часто использует такие инструменты, как TONESHELL, PUBLOAD и COOLCLIENT. Несмотря на эти различия, обе группы в значительной степени полагаются на загрузку DLL-файлов в качестве основного метода выполнения, демонстрируя общие операционные методики.
Адаптивные цепочки заражения и методы доставки
TA416 продемонстрировала высокую степень гибкости, постоянно развивая свои цепочки заражения. Среди методов, наблюдавшихся в ходе кампаний, можно отметить злоупотребление страницами проверки Cloudflare Turnstile, использование механизмов перенаправления OAuth и применение вредоносных файлов проектов C#.
Группа распространяет вредоносное ПО через фишинговые электронные письма, отправляемые с бесплатных почтовых аккаунтов. Эти сообщения часто содержат ссылки на вредоносные архивы, размещенные на таких платформах, как Microsoft Azure Blob Storage, Google Drive, домены, контролируемые злоумышленниками, или скомпрометированные среды SharePoint.
Один из ключевых методов разведки включает использование веб-жучков — небольших невидимых элементов отслеживания, встроенных в электронные письма. При открытии они запускают HTTP-запросы, раскрывающие метаданные получателя, такие как IP-адрес, пользовательский агент и время доступа, что позволяет злоумышленникам подтвердить взаимодействие и уточнить целевую аудиторию.
Злоупотребление OAuth и распространение вредоносного ПО через облачные сервисы
В конце 2025 года в ходе кампаний TA416 использовались легитимные точки авторизации Microsoft OAuth. Жертвы, переходившие по фишинговым ссылкам, перенаправлялись через доверенные потоки аутентификации, после чего незаметно перенаправлялись на контролируемую злоумышленниками инфраструктуру, на которой размещались вредоносные программы.
К началу 2026 года группа усовершенствовала свой подход, распространяя архивы через Google Drive и скомпрометированные экземпляры SharePoint. Эти архивы содержали легитимные исполняемые файлы Microsoft MSBuild наряду со вредоносными файлами проектов C#, создавая обманчивый, но эффективный путь выполнения.
Эксплуатация уязвимостей MSBuild и многоэтапное развертывание полезной нагрузки
Утилита MSBuild играет решающую роль в цепочке заражения TA416. При запуске она автоматически находит и компилирует файлы проекта в рабочем каталоге. В этих атаках вредоносные файлы CSPROJ выступают в качестве загрузчиков, которые декодируют закодированные в Base64 URL-адреса и извлекают дополнительные компоненты полезной нагрузки.
Процесс включает в себя загрузку DLL-файла для последующей загрузки, его сохранение во временном каталоге и выполнение легитимного исполняемого файла, который загружает вредоносное ПО PlugX. Такой многоэтапный подход повышает скрытность и усложняет обнаружение.
Возможности и обеспечение устойчивости бэкдора PlugX
PlugX остается центральным компонентом операций TA416, постоянно используемым в различных кампаниях, несмотря на различия в механизмах доставки. Вредоносная программа устанавливает зашифрованную связь с инфраструктурой управления и контроля и выполняет проверки на защиту от анализа перед запуском, чтобы избежать обнаружения.
Его функциональность обеспечивает расширенный контроль над системой и утечку данных. Основные возможности включают:
- Сбор подробной информации о системе.
- Удалиться, чтобы избежать судебно-медицинской экспертизы.
- Изменение интервалов связи с командными серверами
- Загрузка и выполнение дополнительных полезных нагрузок
- Установление обратного доступа к командной оболочке для удаленного управления
Непрерывная эволюция и стратегическое таргетирование
Возвращение TA416 к европейским целям после сосредоточения внимания на Юго-Восточной Азии и Монголии свидетельствует о возобновлении акцента на сборе разведывательной информации, связанной с ЕС и НАТО. Одновременно с этим расширение операций на Ближнем Востоке подчеркивает способность группы реагировать на глобальные конфликты.
Готовность злоумышленника постоянно совершенствовать свои методы, от поддельных страниц проверки до злоупотребления OAuth и выполнения кода на основе MSBuild, демонстрирует его неизменную приверженность уклонению от атак и повышению оперативной эффективности. Постоянное улучшение вредоносного ПО PlugX еще раз подчеркивает его роль как изощренной, адаптивной угрозы кибершпионажа.
