TA416 网络钓鱼攻击
自2025年中期以来,一个与中国结盟的威胁组织再次出现,并将攻击重点放在欧洲政府和外交机构上。此前,该组织在该地区的活动已减少了近两年。此次攻击活动被认为是由TA416发起的,该威胁组织还与DarkPeony、RedDelta、Red Lich、SmugX、UNC6384和Vertigo Panda等组织有关联。
这些行动主要针对多个国家与欧盟和北约相关的外交机构。这些行动包括一系列协调一致的攻击,涉及网络漏洞追踪和恶意软件投放,表明这是一项有组织、持续进行的情报收集活动。
目录
地缘政治紧张局势推动范围扩大
2026 年 2 月,随着美以伊冲突升级,TA416 将其行动范围扩大到欧洲以外,对中东的政府和外交组织发动了袭击。
此次扩张反映了该组织为收集敏感区域情报而采取的战略举措,凸显了该组织的目标优先事项与不断变化的地缘政治发展密切相关。
重叠的威胁生态系统和共享技术
TA416 与另一个名为 Mustang Panda 的高级威胁集群(也称为 CerenaKeeper、Red Ishtar 和 UNK_SteadySplit)在技术上存在显著重叠。这两个集群都被归类在更广泛的分类下,例如 Earth Preta、Hive0154、HoneyMyte、Stately Taurus、Temp.HEX 和 Twill Typhoon。
TA416 主要与定制的 PlugX 恶意软件变种相关,而 Mustang Panda 则经常部署 TONESHELL、PUBLOAD 和 COOLCLIENT 等工具。尽管存在这些差异,但这两个组织都严重依赖 DLL 侧加载作为其核心执行技术,这表明它们在操作方法上存在共通之处。
适应性感染链和传播技术
TA416展现出了极高的灵活性,其感染链不断演变。在多次攻击活动中观察到的技术包括滥用Cloudflare Turnstile验证页面、利用OAuth重定向机制以及使用恶意C#项目文件。
该组织通过免费邮箱发送钓鱼邮件传播恶意软件。这些邮件通常包含指向恶意文件的链接,这些恶意文件托管在诸如 Microsoft Azure Blob Storage、Google Drive、攻击者控制的域名或被入侵的 SharePoint 环境等平台上。
一种关键的侦察技术是使用网络信标,即嵌入电子邮件中的小型不可见跟踪元素。当邮件被打开时,这些信标会触发HTTP请求,从而暴露收件人的元数据,例如IP地址、用户代理和访问时间,使攻击者能够确认邮件是否被打开并优化攻击目标。
OAuth滥用和基于云的恶意软件传播
2025 年末,TA416 攻击活动利用了合法的 Microsoft OAuth 授权端点。点击钓鱼链接的受害者会被重定向到可信的身份验证流程,然后被悄悄转发到攻击者控制的、托管恶意载荷的基础设施。
到 2026 年初,该组织进一步完善了其攻击策略,通过 Google Drive 和被入侵的 SharePoint 实例分发压缩文件。这些压缩文件包含合法的 Microsoft MSBuild 可执行文件以及恶意 C# 项目文件,从而构建了一条极具欺骗性但又行之有效的攻击路径。
MSBuild漏洞利用和多阶段有效载荷部署
MSBuild 工具在 TA416 的感染链中扮演着至关重要的角色。执行时,它会自动查找并编译工作目录中的项目文件。在这些攻击中,恶意 CSPROJ 文件充当下载器,解码 Base64 编码的 URL 并检索其他有效载荷组件。
该过程包括下载一个 DLL 侧加载包,将其存储在临时目录中,然后执行一个加载 PlugX 恶意软件的合法二进制文件。这种多阶段方法增强了隐蔽性,并增加了检测难度。
PlugX 后门功能和持久性
PlugX 仍然是 TA416 行动的核心组件,尽管传播机制有所变化,但它始终贯穿于所有攻击活动中。该恶意软件会与命令与控制基础设施建立加密通信,并在执行前进行反分析检查以逃避检测。
其功能可实现广泛的系统控制和数据泄露。核心功能包括:
- 收集详细的系统信息
- 自行移除以逃避法医分析
- 修改与命令服务器的通信间隔
- 下载并执行其他有效载荷
- 建立反向 shell 访问以进行远程控制
持续演进与战略目标
TA416在将行动重心转移至东南亚和蒙古之后,重返欧洲目标,这标志着其重新重视欧盟和北约相关的情报收集工作。与此同时,该组织向中东地区拓展行动,也凸显了其对全球冲突的快速反应能力。
该威胁行为者不断迭代各种攻击手段,从伪造验证页面到滥用 OAuth 授权以及基于 MSBuild 的执行,都表明其始终致力于规避攻击并提升行动效率。其 PlugX 恶意软件的持续改进进一步凸显了其作为一种复杂且适应性强的网络间谍威胁的地位。
