Phishingový útok TA416
Od polovice roka 2025 sa po takmer dvoch rokoch zníženej aktivity v regióne opäť objavil aktér hrozby spojený s Čínou so silným zameraním na európske vlády a diplomatické subjekty. Táto kampaň sa pripisuje TA416, klastru hrozieb, ktorý je spájaný aj s DarkPeony, RedDelta, Red Lich, SmugX, UNC6384 a Vertigo Panda.
Operácie boli primárne zamerané na diplomatické misie prepojené s Európskou úniou a NATO vo viacerých krajinách. Tieto kampane pozostávajú z koordinovaných vĺn zahŕňajúcich sledovanie webových chýb a šírenie škodlivého softvéru, čo naznačuje štruktúrované a pretrvávajúce úsilie o zhromažďovanie spravodajských informácií.
Obsah
Rozširujúci sa rozsah pôsobnosti poháňaný geopolitickým napätím
TA416 rozšírila svoj operačný dosah aj mimo Európy a po eskalácii konfliktu medzi USA, Izraelom a Iránom vo februári 2026 spustila kampane proti vládnym a diplomatickým organizáciám na Blízkom východe.
Toto rozšírenie odráža strategické úsilie o zhromažďovanie citlivých regionálnych spravodajských informácií a zdôrazňuje, ako sú priority skupiny v oblasti zacielenia úzko prepojené s vyvíjajúcim sa geopolitickým vývojom.
Prekrývajúce sa ekosystémy hrozieb a zdieľané techniky
TA416 má významné technické prekrývania s ďalším pokročilým klastrom hrozieb, bežne známym ako Mustang Panda, tiež označovaným ako CerenaKeeper, Red Ishtar a UNK_SteadySplit. Obe skupiny sú spoločne sledované v rámci širších klasifikácií, ako napríklad Earth Preta, Hive0154, HoneyMyte, Stately Taurus, Temp.HEX a Twill Typhoon.
Zatiaľ čo TA416 sa primárne spája s prispôsobenými variantmi malvéru PlugX, Mustang Panda často nasadzuje nástroje ako TONESHELL, PUBLOAD a COOLCLIENT. Napriek týmto rozdielom sa obe skupiny vo veľkej miere spoliehajú na bočné načítavanie DLL ako základnú techniku vykonávania, čo demonštruje spoločné operačné metodiky.
Adaptívne infekčné reťazce a techniky doručenia
TA416 preukázal vysoký stupeň flexibility neustálym vývojom svojich infekčných reťazcov. Medzi techniky pozorované v kampaniach patrí zneužívanie overovacích stránok Cloudflare Turnstile, využívanie mechanizmov presmerovania OAuth a používanie škodlivých súborov projektu C#.
Skupina distribuuje malvér prostredníctvom phishingových e-mailov odoslaných z bezplatných e-mailových účtov. Tieto správy často obsahujú odkazy na škodlivé archívy hostované na platformách, ako sú Microsoft Azure Blob Storage, Google Drive, domény ovládané útočníkom alebo napadnuté prostredia SharePointu.
Kľúčová prieskumná technika zahŕňa použitie webových ploštíc, malých neviditeľných sledovacích prvkov vložených do e-mailov. Po otvorení spúšťajú HTTP požiadavky, ktoré odhaľujú metadáta príjemcu, ako je IP adresa, používateľský agent a čas prístupu, čo útočníkom umožňuje potvrdiť interakciu a spresniť zacielenie.
Zneužívanie OAuth a doručovanie malvéru cez cloud
Koncom roka 2025 kampane TA416 využívali legitímne koncové body autorizácie Microsoft OAuth. Obete klikajúce na phishingové odkazy boli presmerované cez dôveryhodné autentifikačné toky a následne boli ticho presmerované na infraštruktúru kontrolovanú útočníkom, ktorá hostila škodlivé dáta.
Začiatkom roka 2026 skupina ďalej zdokonalila svoj prístup distribúciou archívov prostredníctvom Disku Google a kompromitovaných inštancií SharePointu. Tieto archívy obsahovali legitímne spustiteľné súbory Microsoft MSBuild spolu so škodlivými súbormi projektu C#, čím vytvorila klamlivú, ale účinnú cestu k spusteniu.
Využívanie MSBuild a viacstupňové nasadenie údajov
Nástroj MSBuild zohráva kľúčovú úlohu v reťazci infekcie TA416. Po spustení automaticky vyhľadá a skompiluje súbory projektu v pracovnom adresári. Pri týchto útokoch škodlivé súbory CSPROJ fungujú ako sťahovacie programy, ktoré dekódujú adresy URL kódované v Base64 a načítavajú ďalšie komponenty užitočného zaťaženia.
Proces zahŕňa stiahnutie balíka DLL, jeho uloženie do dočasného adresára a spustenie legitímneho binárneho súboru, ktorý načíta malvér PlugX. Tento viacstupňový prístup zvyšuje utajenie a komplikuje detekciu.
Možnosti a perzistencia zadných vrátok PlugX
PlugX zostáva ústrednou súčasťou operácií TA416 a je konzistentne nasadzovaný v kampaniach napriek rozdielom v mechanizmoch doručovania. Malvér nadväzuje šifrovanú komunikáciu s infraštruktúrou Command-and-Control a pred spustením vykonáva antianalytické kontroly, aby sa vyhol odhaleniu.
Jeho funkcionalita umožňuje rozsiahlu kontrolu systému a exfiltráciu dát. Medzi kľúčové možnosti patrí:
- Zhromažďovanie podrobných systémových informácií
- Odstránenie sa, aby sa vyhol forenznej analýze
- Úprava komunikačných intervalov s príkazovými servermi
- Sťahovanie a spúšťanie ďalších údajov
- Nadviazanie prístupu k reverznému shellu pre diaľkové ovládanie
Neustály vývoj a strategické zacielenie
Návrat TA416 k európskym cieľom po zameraní sa na juhovýchodnú Áziu a Mongolsko signalizuje obnovený dôraz na zhromažďovanie spravodajských informácií súvisiacich s EÚ a NATO. Zároveň expanzia do operácií na Blízkom východe podčiarkuje schopnosť skupiny reagovať na globálne konflikty.
Ochota aktéra hrozby iterovať na rôznych technikách, od falošných overovacích stránok až po zneužívanie OAuth a vykonávanie založené na MSBuild, demonštruje pretrvávajúci záväzok k obchádzaniu pravidiel a operačnej efektívnosti. Neustále zdokonaľovanie jeho malvéru PlugX ďalej zdôrazňuje jeho úlohu ako sofistikovanej, adaptívnej hrozby kybernetickej špionáže.
