2023年以来の沈黙の時期を経て、中国政府傘下のグループTA416は復活し、ヨーロッパの政府機関を対象とした新たなサイバースパイキャンペーンの波を開始しました。
Proofpointの研究者らは、2025年半ばにグループの活動の再開を検出し、ヨーロッパ各国のEUおよびNATO外交使節団を対象とした複数のマルウェア配信キャンペーンが実施されました。
TA416は、Cloudflare Turnstileチャレンジページの悪用、OAuthリダイレクトの悪用、C#プロジェクトファイルの使用、カスタムPlugXペイロードの頻繁な更新など、感染チェーンを定期的に変更しました。Proofpointの研究者らが4月1日のレポートで指摘しています。
2026年3月、Proofpointはイランでの紛争勃発に続く数週間で、TA416が中東の外交および政府機関を対象に含めるようにターゲットを拡大したことを観察しました。
2025~2026年のTA416:ヨーロッパ重点スパイ行為キャンペーン
2025年半ばから2026年初頭にかけて、Proofpointの研究者らは、TA416が「広範なウェブバグ」とマルウェア配信キャンペーンの両方を実施したと述べています。
研究者によると、ウェブバグ(「トラッキングピクセル」とも呼ばれる)は、メールに埋め込まれた小さな不可視オブジェクトで、開かれると遠隔サーバへのHTTPリクエストをトリガーし、受信者のIPアドレス、ユーザーエージェント、アクセス時刻を明かします。これにより、脅威行為者は、メールが意図した対象者によって開かれたかどうかを評価することができます。
TA416のウェブバグキャンペーンは、フリーメールの送信アカウントと、ヨーロッパがグリーンランドに軍隊を派遣して配信および係合偵察を実行するなど、様々なテーマ別のおとりを使用しました。
マルウェア配信キャンペーンは、攻撃者が管理するフリーメールアカウントと、Microsoft Azure Blob Storage、攻撃者が管理するドメイン、Google Drive、および侵害されたSharePointインスタンスにホストされている悪意のあるアーカイブへのリンクを送信するために、侵害された政府および外交メールボックスの両方を使用しました。
TA416は、DLLサイドロードトリアドを介してグループのカスタマイズされたPlugXバックドアをロードするという一貫した目標を維持しながら、初期感染チェーンを繰り返し変更しました。
キャンペーンの過程で初期アクセス技術が変わり、異なる時期にわたっていくつかの明確なアプローチが観察されました:
- 2025年9月~2026年1月:グループはZIPアーカイブへのアクセスをゲート化した偽装されたCloudflare Turnstileチャレンジページを使用
- 2025年12月~2026年1月:TA416は、ユーザーを攻撃者が管理するマルウェア配信ドメインにリダイレクトするMicrosoft Entra IDサードパーティアプリケーションを悪用
- 2026年2月以降:キャンペーンは、名前を変更したMicrosoft MSBuild実行ファイルと悪意のあるC#プロジェクトファイルを含むアーカイブの使用に転換
各場合において、TA416は、Microsoft shortcut(LNK)ファイルを使用したZIPスマグリング、またはCSPROJベースのダウンローダに依存して、最終的にPlugXをメモリにロードした署名付き実行ファイル、悪意のあるDLL、および暗号化されたペイロードトリアドを配信しました。
TA416またはMustang Panda?
TA416は、中国政府傘下の高度な持続的脅威(APT)グループに付与されたコードネームで、多くの名前で知られており、最も一般的なのはMustang Pandaです。
MITRE ATT&CKによると、Mustang Pandaは2012年に最初に発見され、米国、ヨーロッパ、アジア全域の政府、外交、非政府機関(シンクタンク、宗教団体、研究機関を含む)をターゲットにしており、ロシア、モンゴル、ミャンマー、パキスタン、ベトナムで注目すべき活動を行っています。
しかし、Proofpointの研究者らは、Mustang Pandaを2つの主要なクラスタで追跡しています:TA416(別名Vertigo Panda、RedDelta、Red Lich、UNC6384、SmugX、DarkPeony)および一時的な指定子UNK_SteadySplit(別名CerenaKeeper、Red Ishtar)で追跡される2番目のグループです。
Trend Microによる以前の研究は、TA416とUNK_SteadySplitの間の技術的な重複を特定しており、最も注目すべきは、TA416キャンペーンで使用されている2つのLNKファイル内のファイルパスに埋め込まれたUNK_SteadySplit TONESHELL command-and-control(C2)IPアドレスです。
最新のProofpointレポートは、これらの接続が2つのグループ間のなんらかの形態の組織的、人事的、または階層的なリンクを示唆していることを示唆しています。
しかし、Proofpointは、そうした重複は以前の作戦では記録されていますが、関係の性質は依然として不明であり、最近のキャンペーンでは同様の接続が観察されていないことを明確にしました。
Proofpointはまた、Twill Typhoon、Temp.HEX、Earth Preta、Stately Taurus、HoneyMyte、Hive0154を含むMustang Pandaの他のエイリアスは、TA416とUNK_SteadySplitが協力していたキャンペーンを指していることを指摘しました。
TA416のインフラストラクチャ
TA416は、C2、マルウェア配信、ウェブバグのために、再登録された以前の正当なドメインの安定した供給を使用しており、再登録後数日以内にドメインを最初に使用することが多いため、グループはドメイン評判ベースのセキュリティ管理を回避することができます。
Proofpointは、2025年および2026年のTA416キャンペーンが仮想プライベートサーバ(VPS)プロバイダーEvoxt Enterprise(AS149440)、XNNET LLC(AS6134)、Kaopu Cloud HK Limited(AS138915)を活用していることを述べました。
グループは通常、Cloudflare Content Delivery Network(CDN)を使用して、マルウェア配信とC2に使用されるバックエンドホスティングIPアドレスを隠蔽し、C2ドメインに最小限の偽造ウェブサイトを展開します。これは、署名およびトラッキング作業を妨害し、これらのドメインを正当なものに見せるためと思われます。
2025年10月、Arctic Wolfは、ベルギーとハンガリーの外交官をターゲットにしたサイバースパイ行為キャンペーンについて報告し、それをMustang Pandaに帰属しました。
翻訳元: https://www.infosecurity-magazine.com/news/china-hackers-ta416-europe/
