TA416 Фишинг напад
Од средине 2025. године, поново се појавио актер претње повезан са Кином са снажним фокусом на европске владе и дипломатске ентитете, након скоро две године смањене активности у региону. Ова кампања је приписана TA416, групи претњи која је такође повезана са DarkPeony, RedDelta, Red Lich, SmugX, UNC6384 и Vertigo Panda.
Операције су првенствено циљале дипломатске мисије повезане са Европском унијом и НАТО-ом у више земаља. Ове кампање се састоје од координисаних таласа који укључују праћење веб грешака и испоруку злонамерног софтвера, што указује на структуриран и упоран напоран напор прикупљања обавештајних података.
Преглед садржаја
Ширење обима вођено геополитичким тензијама
TA416 је проширила свој оперативни домет ван Европе, покрећући кампање против владиних и дипломатских организација на Блиском истоку након ескалације сукоба између САД, Израела и Ирана у фебруару 2026. године.
Ово проширење одражава стратешки напор да се прикупе осетљиви регионални обавештајни подаци, истичући како су приоритети групе у циљању уско усклађени са еволуирајућим геополитичким дешавањима.
Преклапајући екосистеми претњи и заједничке технике
TA416 дели значајна техничка преклапања са другим напредним кластером претњи познатим као Mustang Panda, такође познатим као CerenaKeeper, Red Ishtar и UNK_SteadySplit. Обе групе се заједнички прате под ширим класификацијама као што су Earth Preta, Hive0154, HoneyMyte, Stately Taurus, Temp.HEX и Twill Typhoon.
Иако се TA416 првенствено повезује са прилагођеним варијантама PlugX малвера, Mustang Panda често користи алате као што су TONESHELL, PUBLOAD и COOLCLIENT. Упркос овим разликама, обе групе се у великој мери ослањају на бочно учитавање DLL-а као основну технику извршавања, демонстрирајући заједничке оперативне методологије.
Адаптивни ланци инфекције и технике испоруке
TA416 је показао висок степен флексибилности континуираним развојем својих ланаца инфекције. Технике примећене у кампањама укључују злоупотребу страница за верификацију Cloudflare Turnstile-а, искоришћавање OAuth механизама преусмеравања и коришћење злонамерних C# пројектних датотека.
Група дистрибуира злонамерни софтвер путем фишинг имејлова послатих са бесплатних имејл налога. Ове поруке често садрже линкове до злонамерних архива које се налазе на платформама као што су Microsoft Azure Blob Storage, Google Drive, домени које контролишу нападачи или угрожена SharePoint окружења.
Кључна техника извиђања укључује употребу веб буба, малих невидљивих елемената за праћење уграђених у имејлове. Када се отворе, они покрећу HTTP захтеве који откривају метаподатке примаоца као што су IP адреса, кориснички агент и време приступа, омогућавајући нападачима да потврде ангажовање и прецизирају циљање.
Злоупотреба OAuth-а и испорука злонамерног софтвера путем облака
Крајем 2025. године, кампање TA416 користиле су легитимне крајње тачке ауторизације Microsoft OAuth. Жртве које су кликтале на фишинг линкове преусмераване су кроз поуздане токове аутентификације пре него што су тихо прослеђене на инфраструктуру коју контролише нападач, а која је хостовала злонамерне садржаје.
До почетка 2026. године, група је додатно усавршила свој приступ дистрибуцијом архива путем Google диска и компромитованих SharePoint инстанци. Ове архиве су садржале легитимне извршне датотеке Microsoft MSBuild-а заједно са злонамерним C# пројектним датотекама, стварајући обмањујући, али ефикасан пут извршавања.
Експлоатација MSBuild-а и вишестепено распоређивање корисног терета
Услужни програм MSBuild игра кључну улогу у ланцу инфекције TA416. Када се покрене, он аутоматски проналази и компајлира пројектне датотеке унутар радног директоријума. У овим нападима, злонамерне CSPROJ датотеке делују као програми за преузимање који декодирају Base64-кодиране URL-ове и преузимају додатне компоненте корисног терета.
Процес укључује преузимање DLL пакета за бочно учитавање, његово чување у привременом директоријуму и извршавање легитимне бинарне датотеке која учитава PlugX злонамерни софтвер. Овај вишестепени приступ побољшава прикривеност и компликује откривање.
Могућности и истрајност PlugX бекдора
PlugX остаје централна компонента операција TA416, доследно примењена у кампањама упркос варијацијама у механизмима испоруке. Злонамерни софтвер успоставља шифровану комуникацију са инфраструктуром командовања и контроле и врши анти-аналитичке провере пре извршења како би избегао откривање.
Његова функционалност омогућава опсежну контролу система и извлачење података. Основне могућности укључују:
- Прикупљање детаљних системских информација
- Уклања се како би избегао форензичку анализу
- Измена интервала комуникације са командним серверима
- Преузимање и извршавање додатних корисних оптерећења
- Успостављање обрнутог приступа шкољци за даљинско управљање
Континуирана еволуција и стратешко циљање
Повратак TA416 европским циљевима након фокусирања на Југоисточну Азију и Монголију сигнализира поновни нагласак на прикупљање обавештајних података везаних за ЕУ и НАТО. Истовремено, ширење на операције на Блиском истоку наглашава реакцију групе на глобалне сукобе.
Спремност актера претње да понавља технике, од лажних страница за верификацију до злоупотребе OAuth-а и извршавања заснованог на MSBuild-у, показује сталну посвећеност избегавању и оперативној ефикасности. Континуирано усавршавање његовог PlugX малвера додатно наглашава његову улогу софистициране, адаптивне претње сајбер шпијунажом.
