TA416 網路釣魚攻擊
自2025年中期以來,一個與中國結盟的威脅組織再次出現,並將攻擊重點放在歐洲政府和外交機構。此前,該組織在該地區的活動已減少了近兩年。這次攻擊活動被認為是由TA416發起的,該威脅組織也與DarkPeony、RedDelta、Red Lich、SmugX、UNC6384和Vertigo Panda等組織有關聯。
此次行動主要針對多個國家與歐盟和北約相關的外交機構。這些行動包括一系列協調一致的攻擊,涉及網路漏洞追蹤和惡意軟體投放,顯示這是一項有組織、持續進行的情報收集工作。
目錄
地緣政治緊張局勢推動範圍擴大
2026 年 2 月,隨著美以伊衝突升級,TA416 將其行動範圍擴大到歐洲以外,對中東的政府和外交組織發動了攻擊。
此次擴張反映了該組織為收集敏感區域情報所做的戰略努力,凸顯了該組織的目標優先事項與不斷變化的地緣政治發展密切相關。
重疊的威脅生態系和共享技術
TA416 與另一個名為 Mustang Panda 的高階威脅群集(也稱為 CerenaKeeper、Red Ishtar 和 UNK_SteadySplit)在技術上有顯著重疊。這兩個群集都被歸類在更廣泛的分類下,例如 Earth Preta、Hive0154、HoneyMyte、Stately Taurus、Temp.HEX 和 Twill Typhoon。
TA416 主要與客製化的 PlugX 惡意軟體變種相關,而 Mustang Panda 則經常部署 TONESHELL、PUBLOAD 和 COOLCLIENT 等工具。儘管存在這些差異,但這兩個組織都嚴重依賴 DLL 側加載作為其核心執行技術,這表明它們在操作方法上存在共同點。
適應性感染鍊和傳播技術
TA416展現了極高的彈性,其感染鏈不斷演變。在多次攻擊活動中觀察到的技術包括濫用Cloudflare Turnstile驗證頁面、利用OAuth重定向機制以及使用惡意C#專案檔案。
該組織透過免費郵箱發送釣魚郵件傳播惡意軟體。這些郵件通常包含指向惡意文件的鏈接,這些惡意檔案託管在諸如 Microsoft Azure Blob Storage、Google Drive、攻擊者控制的網域或被入侵的 SharePoint 環境等平台上。
一種關鍵的偵察技術是使用網路信標,即嵌入電子郵件中的小型不可見追蹤元素。當郵件被開啟時,這些信標會觸發HTTP請求,從而暴露收件者的元數據,例如IP位址、使用者代理和存取時間,使攻擊者能夠確認郵件是否已開啟並最佳化攻擊目標。
OAuth濫用和基於雲端的惡意軟體傳播
2025 年末,TA416 攻擊活動利用了合法的 Microsoft OAuth 授權端點。點擊釣魚連結的受害者會被重新導向到可信任的身份驗證流程,然後被悄悄轉發到攻擊者控制的、託管惡意負載的基礎設施。
到 2026 年初,該組織進一步完善了其攻擊策略,透過 Google Drive 和被入侵的 SharePoint 實例分發壓縮檔案。這些壓縮文件包含合法的 Microsoft MSBuild 可執行檔以及惡意 C# 專案文件,從而建構了一條極具欺騙性但又行之有效的攻擊路徑。
MSBuild漏洞利用和多階段有效載荷部署
MSBuild 工具在 TA416 的感染鏈中扮演著至關重要的角色。執行時,它會自動尋找並編譯工作目錄中的專案檔案。在這些攻擊中,惡意 CSPROJ 檔案充當下載器,解碼 Base64 編碼的 URL 並檢索其他有效載荷元件。
這個過程包括下載一個 DLL 側載入包,將其儲存在臨時目錄中,然後執行一個載入 PlugX 惡意軟體的合法二進位。這種多階段方法增強了隱蔽性,並增加了檢測難度。
PlugX 後門功能與持久性
PlugX 仍然是 TA416 行動的核心組件,儘管傳播機制有所變化,但它始終貫穿所有攻擊活動。該惡意軟體會與命令與控制基礎設施建立加密通信,並在執行前進行反分析檢查以逃避檢測。
其功能可實現廣泛的系統控制和資料外洩。核心功能包括:
- 收集詳細的系統信息
- 自行移除以逃避法醫分析
- 修改與命令伺服器的通訊間隔
- 下載並執行其他有效載荷
- 建立反向 shell 存取以進行遠端控制
持續演進與策略目標
TA416在將行動重心轉移至東南亞和蒙古之後,重返歐洲目標,這標誌著其重新重視歐盟和北約相關的情報收集工作。同時,該組織向中東地區拓展行動,也凸顯了對全球衝突的快速反應能力。
此威脅行為者不斷迭代各種攻擊手段,從偽造驗證頁面到濫用 OAuth 授權以及基於 MSBuild 的執行,都表明其始終致力於規避攻擊並提升行動效率。其 PlugX 惡意軟體的持續改進進一步凸顯了其作為一種複雜且適應性強的網路間諜威脅的地位。
