Фішингова атака TA416
З середини 2025 року, після майже двох років зниження активності в регіоні, знову з'явився пов'язаний з Китаєм гравець зловмисної діяльності, який зосереджується на європейських урядах та дипломатичних установах. Цю кампанію пов'язують з TA416, кластером загроз, також пов'язаним з DarkPeony, RedDelta, Red Lich, SmugX, UNC6384 та Vertigo Panda.
Операції були спрямовані переважно на дипломатичні місії, пов'язані з Європейським Союзом та НАТО в багатьох країнах. Ці кампанії складаються з скоординованих хвиль, що включають відстеження веб-багів та розповсюдження шкідливого програмного забезпечення, що свідчить про структуровані та постійні зусилля зі збору розвідувальних даних.
Зміст
Розширення сфери діяльності, зумовлене геополітичною напруженістю
TA416 розширила свою оперативну діяльність за межі Європи, розпочавши кампанії проти урядових та дипломатичних організацій на Близькому Сході після ескалації конфлікту між США, Ізраїлем та Іраном у лютому 2026 року.
Це розширення відображає стратегічні зусилля щодо збору конфіденційної регіональної розвідувальної інформації, що підкреслює, як пріоритети групи щодо цільових дій тісно пов'язані з розвитком геополітичних подій.
Перекриваючі екосистеми загроз та спільні методи
TA416 має помітні технічні спільні риси з іншим розширеним кластером загроз, широко відомим як Mustang Panda, також відомий як CerenaKeeper, Red Ishtar та UNK_SteadySplit. Обидві групи разом відстежуються за ширшими класифікаціями, такими як Earth Preta, Hive0154, HoneyMyte, Stately Taurus, Temp.HEX та Twill Typhoon.
Хоча TA416 в основному асоціюється з налаштованими варіантами шкідливого програмного забезпечення PlugX, Mustang Panda часто використовує такі інструменти, як TONESHELL, PUBLOAD та COOLCLIENT. Незважаючи на ці відмінності, обидві групи значною мірою покладаються на завантаження DLL як основний метод виконання, демонструючи спільні операційні методології.
Адаптивні ланцюги інфекції та методи доставки
TA416 продемонстрував високий ступінь гнучкості, постійно розвиваючи свої ланцюги зараження. Методи, що спостерігалися в кампаніях, включають зловживання сторінками перевірки Cloudflare Turnstile, використання механізмів перенаправлення OAuth та використання шкідливих файлів проектів C#.
Група розповсюджує шкідливе програмне забезпечення через фішингові електронні листи, надіслані з безкоштовних поштових облікових записів. Ці повідомлення часто містять посилання на шкідливі архіви, розміщені на таких платформах, як Microsoft Azure Blob Storage, Google Drive, контрольованих зловмисниками доменах або скомпрометованих середовищах SharePoint.
Ключовий метод розвідки передбачає використання веб-жучків – невеликих невидимих елементів відстеження, вбудованих в електронні листи. Після відкриття вони запускають HTTP-запити, які розкривають метадані одержувача, такі як IP-адреса, агент користувача та час доступу, що дозволяє зловмисникам підтвердити взаємодію та уточнити цільову аудиторію.
Зловживання OAuth та доставка шкідливого програмного забезпечення через хмару
Наприкінці 2025 року кампанії TA416 використовували легітимні кінцеві точки авторизації Microsoft OAuth. Жертви, які натискали на фішингові посилання, перенаправлялися через довірені потоки автентифікації, перш ніж непомітно перенаправлялися до контрольованої зловмисником інфраструктури, що розміщувала шкідливі корисні навантаження.
До початку 2026 року група вдосконалила свій підхід, розповсюджуючи архіви через Google Диск та скомпрометовані екземпляри SharePoint. Ці архіви містили легітимні виконувані файли Microsoft MSBuild разом із шкідливими файлами проектів C#, створюючи оманливий, але ефективний шлях виконання.
Експлуатація MSBuild та багатоетапне розгортання корисного навантаження
Утиліта MSBuild відіграє вирішальну роль у ланцюжку зараження TA416. Під час виконання вона автоматично знаходить та компілює файли проекту в робочому каталозі. У цих атаках шкідливі файли CSPROJ діють як завантажувачі, які декодують URL-адреси, закодовані в Base64, та отримують додаткові компоненти корисного навантаження.
Процес включає завантаження DLL-пакета, його зберігання в тимчасовому каталозі та виконання легітимного бінарного файлу, який завантажує шкідливе програмне забезпечення PlugX. Такий багатоетапний підхід підвищує прихованість та ускладнює виявлення.
Можливості та стійкість бекдору PlugX
PlugX залишається центральним компонентом операцій TA416, послідовно розгортаючись у всіх кампаніях, незважаючи на відмінності в механізмах доставки. Шкідливе програмне забезпечення встановлює зашифрований зв'язок з інфраструктурою командування та контролю та виконує антианалізні перевірки перед виконанням, щоб уникнути виявлення.
Його функціональність забезпечує розширений контроль системи та витік даних. Основні можливості включають:
- Збір детальної системної інформації
- Самовидалення, щоб уникнути судово-медичного аналізу
- Зміна інтервалів зв'язку з командними серверами
- Завантаження та виконання додаткових корисних навантажень
- Налаштування зворотного доступу до оболонки для віддаленого керування
Безперервна еволюція та стратегічне таргетування
Повернення TA416 до європейських цілей після зосередження на Південно-Східній Азії та Монголії сигналізує про поновлення акценту на зборі розвідувальних даних, пов'язаних з ЄС та НАТО. Водночас, розширення діяльності на Близькому Сході підкреслює здатність групи реагувати на глобальні конфлікти.
Готовність зловмисника вдосконалювати методи, починаючи від підроблених сторінок верифікації і закінчуючи зловживанням OAuth та виконанням на основі MSBuild, демонструє постійне прагнення до ухилення від кібершпигунства та операційної ефективності. Постійне вдосконалення його шкідливого програмного забезпечення PlugX ще більше підкреслює його роль як складної, адаптивної кібершпигунської загрози.
