Tấn công lừa đảo TA416

Kể từ giữa năm 2025, một nhóm tin tặc liên kết với Trung Quốc đã tái xuất hiện với trọng tâm mạnh mẽ vào các cơ quan chính phủ và ngoại giao châu Âu, sau gần hai năm hoạt động giảm sút trong khu vực. Chiến dịch này được cho là do TA416 thực hiện, một nhóm tin tặc cũng liên kết với DarkPeony, RedDelta, Red Lich, SmugX, UNC6384 và Vertigo Panda.

Các hoạt động này chủ yếu nhắm vào các phái đoàn ngoại giao liên quan đến Liên minh châu Âu và NATO tại nhiều quốc gia. Những chiến dịch này bao gồm các đợt tấn công phối hợp, trong đó có việc theo dõi lỗi trên web và phát tán phần mềm độc hại, cho thấy một nỗ lực thu thập thông tin tình báo có cấu trúc và liên tục.

Mở rộng phạm vi hoạt động do căng thẳng địa chính trị thúc đẩy.

TA416 đã mở rộng phạm vi hoạt động ra ngoài châu Âu, phát động các chiến dịch chống lại các tổ chức chính phủ và ngoại giao ở Trung Đông sau khi xung đột Mỹ-Israel-Iran leo thang vào tháng 2 năm 2026.

Việc mở rộng này phản ánh nỗ lực chiến lược nhằm thu thập thông tin tình báo nhạy cảm trong khu vực, cho thấy các ưu tiên mục tiêu của nhóm này phù hợp chặt chẽ với những diễn biến địa chính trị đang thay đổi.

Các hệ sinh thái đe dọa chồng chéo và các kỹ thuật chung

TA416 có những điểm trùng lặp đáng chú ý về mặt kỹ thuật với một nhóm mối đe dọa tiên tiến khác thường được gọi là Mustang Panda, hay còn được biết đến với tên CerenaKeeper, Red Ishtar và UNK_SteadySplit. Cả hai nhóm đều được theo dõi chung dưới các phân loại rộng hơn như Earth Preta, Hive0154, HoneyMyte, Stately Taurus, Temp.HEX và Twill Typhoon.

Trong khi TA416 chủ yếu liên quan đến các biến thể phần mềm độc hại PlugX được tùy chỉnh, Mustang Panda thường xuyên triển khai các công cụ như TONESHELL, PUBLOAD và COOLCLIENT. Bất chấp những khác biệt này, cả hai nhóm đều dựa nhiều vào việc tải DLL từ bên ngoài như một kỹ thuật thực thi cốt lõi, cho thấy các phương pháp hoạt động chung.

Chuỗi lây nhiễm thích ứng và kỹ thuật truyền bệnh

TA416 đã thể hiện mức độ linh hoạt cao bằng cách liên tục phát triển các chuỗi lây nhiễm của nó. Các kỹ thuật được quan sát thấy trong các chiến dịch bao gồm lạm dụng các trang xác minh Cloudflare Turnstile, khai thác cơ chế chuyển hướng OAuth và sử dụng các tệp dự án C# độc hại.

Nhóm này phát tán phần mềm độc hại thông qua các email lừa đảo được gửi từ các tài khoản email miễn phí. Những tin nhắn này thường bao gồm các liên kết đến các tệp lưu trữ độc hại được lưu trữ trên các nền tảng như Microsoft Azure Blob Storage, Google Drive, các tên miền do kẻ tấn công kiểm soát hoặc môi trường SharePoint bị xâm nhập.

Một kỹ thuật trinh sát quan trọng liên quan đến việc sử dụng web bug, những phần tử theo dõi nhỏ, vô hình được nhúng trong email. Khi được mở, chúng sẽ kích hoạt các yêu cầu HTTP làm lộ siêu dữ liệu của người nhận như địa chỉ IP, tác nhân người dùng và thời gian truy cập, cho phép kẻ tấn công xác nhận tương tác và tinh chỉnh mục tiêu.

Lạm dụng OAuth và phân phối phần mềm độc hại dựa trên đám mây

Vào cuối năm 2025, các chiến dịch TA416 đã lợi dụng các điểm cuối xác thực OAuth hợp pháp của Microsoft. Nạn nhân nhấp vào các liên kết lừa đảo đã bị chuyển hướng qua các luồng xác thực đáng tin cậy trước khi được âm thầm chuyển tiếp đến cơ sở hạ tầng do kẻ tấn công kiểm soát, nơi lưu trữ các phần mềm độc hại.

Đầu năm 2026, nhóm này tiếp tục tinh chỉnh phương pháp của mình bằng cách phân phối các tệp lưu trữ thông qua Google Drive và các máy chủ SharePoint bị xâm nhập. Các tệp lưu trữ này chứa các tệp thực thi Microsoft MSBuild hợp pháp cùng với các tệp dự án C# độc hại, tạo ra một đường dẫn thực thi lừa đảo nhưng hiệu quả.

Khai thác lỗ hổng MSBuild và triển khai tải trọng đa giai đoạn

Tiện ích MSBuild đóng vai trò quan trọng trong chuỗi lây nhiễm của TA416. Khi được thực thi, nó tự động định vị và biên dịch các tệp dự án trong thư mục làm việc. Trong các cuộc tấn công này, các tệp CSPROJ độc hại hoạt động như các trình tải xuống giải mã các URL được mã hóa Base64 và truy xuất các thành phần tải trọng bổ sung.

Quá trình này bao gồm việc tải xuống một gói DLL side-loading, lưu trữ nó trong một thư mục tạm thời và thực thi một tệp nhị phân hợp pháp để tải phần mềm độc hại PlugX. Cách tiếp cận nhiều giai đoạn này tăng cường tính bí mật và làm phức tạp việc phát hiện.

Khả năng và tính bền vững của cửa hậu PlugX

PlugX vẫn là một thành phần cốt lõi trong các hoạt động của TA416, được triển khai nhất quán trong các chiến dịch bất chấp sự khác biệt về cơ chế phân phối. Phần mềm độc hại này thiết lập liên lạc mã hóa với cơ sở hạ tầng điều khiển và thực hiện các kiểm tra chống phân tích trước khi thực thi để tránh bị phát hiện.

Chức năng của nó cho phép kiểm soát hệ thống và đánh cắp dữ liệu trên diện rộng. Các khả năng cốt lõi bao gồm:

• Thu thập thông tin chi tiết về hệ thống.
• Tự xóa bỏ để tránh bị phát hiện trong quá trình phân tích pháp y.
• Điều chỉnh khoảng thời gian liên lạc với máy chủ lệnh
• Tải xuống và thực thi các phần mềm bổ sung
• Thiết lập quyền truy cập ngược cho điều khiển từ xa

Sự tiến hóa liên tục và mục tiêu chiến lược

Việc TA416 quay trở lại các mục tiêu ở châu Âu sau khi tập trung vào Đông Nam Á và Mông Cổ cho thấy sự nhấn mạnh trở lại vào việc thu thập thông tin tình báo liên quan đến EU và NATO. Đồng thời, việc mở rộng hoạt động sang Trung Đông nhấn mạnh khả năng đáp ứng của nhóm đối với các xung đột toàn cầu.

Việc kẻ tấn công sẵn sàng liên tục cải tiến các kỹ thuật, từ các trang xác minh giả mạo đến lạm dụng OAuth và thực thi dựa trên MSBuild, cho thấy cam kết bền bỉ của chúng đối với việc né tránh và hiệu quả hoạt động. Việc liên tục tinh chỉnh phần mềm độc hại PlugX càng nhấn mạnh vai trò của chúng như một mối đe dọa gián điệp mạng tinh vi và có khả năng thích ứng cao.