TA416 Kimlik Avı Saldırısı
2025 yılının ortalarından itibaren, bölgedeki faaliyetlerinin yaklaşık iki yıl azalmasının ardından, Çin'le bağlantılı bir tehdit aktörü, Avrupa hükümet ve diplomatik kuruluşlarını hedef alarak yeniden ortaya çıktı. Bu kampanya, DarkPeony, RedDelta, Red Lich, SmugX, UNC6384 ve Vertigo Panda ile de ilişkili olan TA416 adlı tehdit kümesine atfediliyor.
Operasyonlar öncelikle birçok ülkedeki Avrupa Birliği ve NATO ile bağlantılı diplomatik misyonları hedef almıştır. Bu kampanyalar, web hatalarını izleme ve kötü amaçlı yazılım yayma faaliyetlerini içeren koordineli dalgalardan oluşmakta olup, yapılandırılmış ve sürekli bir istihbarat toplama çabasını göstermektedir.
İçindekiler
Jeopolitik Gerilimlerin Tetiklediği Genişleyen Kapsam
TA416, Şubat 2026'da ABD-İsrail-İran çatışmasının tırmanmasının ardından Ortadoğu'daki hükümet ve diplomatik kuruluşlara karşı operasyonlar başlatarak operasyonel alanını Avrupa'nın ötesine genişletti.
Bu genişleme, hassas bölgesel istihbarat toplama yönündeki stratejik bir çabayı yansıtıyor ve grubun hedef belirleme önceliklerinin gelişen jeopolitik gelişmelerle ne kadar yakından uyumlu olduğunu vurguluyor.
Örtüşen Tehdit Ekosistemleri ve Paylaşılan Teknikler
TA416, Mustang Panda olarak da bilinen ve CerenaKeeper, Red Ishtar ve UNK_SteadySplit olarak da anılan bir diğer gelişmiş tehdit kümesiyle önemli teknik örtüşmelere sahiptir. Her iki grup da Earth Preta, Hive0154, HoneyMyte, Stately Taurus, Temp.HEX ve Twill Typhoon gibi daha geniş sınıflandırmalar altında takip edilmektedir.
TA416 öncelikle özelleştirilmiş PlugX kötü amaçlı yazılım varyantlarıyla ilişkilendirilirken, Mustang Panda sıklıkla TONESHELL, PUBLOAD ve COOLCLIENT gibi araçları kullanmaktadır. Bu farklılıklara rağmen, her iki grup da temel yürütme tekniği olarak DLL yan yüklemesine büyük ölçüde güvenmekte ve ortak operasyonel metodolojileri göstermektedir.
Uyarlanabilir Enfeksiyon Zincirleri ve Dağıtım Teknikleri
TA416, enfeksiyon zincirlerini sürekli olarak geliştirerek yüksek derecede esneklik göstermiştir. Kampanyalar genelinde gözlemlenen teknikler arasında Cloudflare Turnstile doğrulama sayfalarının kötüye kullanımı, OAuth yönlendirme mekanizmalarının istismarı ve kötü amaçlı C# proje dosyalarının kullanımı yer almaktadır.
Grup, ücretsiz e-posta hesaplarından gönderilen kimlik avı e-postaları aracılığıyla kötü amaçlı yazılım dağıtıyor. Bu mesajlar genellikle Microsoft Azure Blob Depolama, Google Drive, saldırgan kontrolündeki alan adları veya ele geçirilmiş SharePoint ortamları gibi platformlarda barındırılan kötü amaçlı arşivlere bağlantılar içeriyor.
Önemli bir keşif tekniği, e-postalara yerleştirilmiş küçük, görünmez izleme öğeleri olan web böceklerinin kullanımını içerir. Bunlar açıldığında, alıcının IP adresi, kullanıcı aracısı ve erişim zamanı gibi meta verilerini ortaya çıkaran HTTP isteklerini tetikler ve saldırganların etkileşimi doğrulamasına ve hedeflemeyi iyileştirmesine olanak tanır.
OAuth Kötüye Kullanımı ve Bulut Tabanlı Kötü Amaçlı Yazılım Dağıtımı
2025 yılının sonlarında, TA416 kampanyaları meşru Microsoft OAuth yetkilendirme uç noktalarından yararlandı. Kimlik avı bağlantılarına tıklayan kurbanlar, güvenilir kimlik doğrulama akışlarından geçirilerek, kötü amaçlı yazılımları barındıran saldırgan kontrolündeki altyapıya sessizce yönlendirildi.
2026 yılının başlarında, grup yaklaşımını daha da geliştirerek arşivleri Google Drive ve ele geçirilmiş SharePoint örnekleri aracılığıyla dağıtmaya başladı. Bu arşivler, kötü amaçlı C# proje dosyalarının yanı sıra meşru Microsoft MSBuild yürütülebilir dosyalarını da içererek aldatıcı ancak etkili bir yürütme yolu oluşturuyordu.
MSBuild İstismarı ve Çok Aşamalı Yük Dağıtımı
MSBuild yardımcı programı, TA416'nın enfeksiyon zincirinde kritik bir rol oynar. Çalıştırıldığında, çalışma dizini içindeki proje dosyalarını otomatik olarak bulur ve derler. Bu saldırılarda, kötü amaçlı CSPROJ dosyaları, Base64 kodlu URL'leri çözen ve ek yük bileşenlerini indiren indirme dosyaları gibi davranır.
Bu süreç, bir DLL yan yükleme paketinin indirilmesini, geçici bir dizine kaydedilmesini ve PlugX kötü amaçlı yazılımını yükleyen yasal bir ikili dosyanın çalıştırılmasını içerir. Bu çok aşamalı yaklaşım, gizliliği artırır ve tespit edilmesini zorlaştırır.
PlugX Arka Kapı Özellikleri ve Kalıcılığı
PlugX, dağıtım mekanizmalarındaki farklılıklara rağmen kampanyalar genelinde tutarlı bir şekilde kullanılan TA416 operasyonlarının merkezi bir bileşeni olmaya devam etmektedir. Kötü amaçlı yazılım, komuta ve kontrol altyapısıyla şifreli iletişim kurar ve tespit edilmekten kaçınmak için yürütülmeden önce analiz karşıtı kontroller gerçekleştirir.
İşlevselliği, kapsamlı sistem kontrolü ve veri sızdırmayı mümkün kılar. Temel yetenekleri şunlardır:
- Ayrıntılı sistem bilgilerinin toplanması
- Adli analizden kaçınmak için kendini ortadan kaldırıyor.
- Komuta sunucularıyla iletişim aralıklarının değiştirilmesi
- Ek zararlı yazılımların indirilmesi ve yürütülmesi
- Uzaktan kontrol için ters kabuk erişimi oluşturma
Sürekli Evrim ve Stratejik Hedefleme
TA416'nın Güneydoğu Asya ve Moğolistan'a odaklandıktan sonra Avrupa hedeflerine geri dönmesi, AB ve NATO ile ilgili istihbarat toplama çalışmalarına yeniden önem verildiğinin bir işaretidir. Aynı zamanda, Orta Doğu operasyonlarına genişleme, grubun küresel çatışmalara karşı duyarlılığını vurgulamaktadır.
Tehdit aktörünün sahte doğrulama sayfalarından OAuth suistimaline ve MSBuild tabanlı yürütmeye kadar uzanan teknikleri sürekli olarak geliştirme isteği, kaçınma ve operasyonel etkinliğe olan kalıcı bağlılığını göstermektedir. PlugX kötü amaçlı yazılımının sürekli olarak geliştirilmesi, onu sofistike ve uyarlanabilir bir siber casusluk tehdidi olarak daha da vurgulamaktadır.
