中国系の脅威行為者TA416は、ヨーロッパ政府に対する大規模なスパイ活動を再開しました。
現在、中東の外交的標的への拡大を進めており、ウェブバグの偵察と、カスタマイズされたPlugXバックドアで終わる絶えず進化するマルウェア配信チェーンを組み合わせています。
2025年半ばから、2年間の沈静化後、TA416はヨーロッパ政府および外交機関を定期的に標的にし直しました。EUおよびNATOミッションに関連するメールボックスに重点を置いています。
この再開された活動は第25回EU・中国首脳会談の直後に続き、貿易、ロシア・ウクライナ戦争、および重要な鉱物資源をめぐる緊張の高まりの中で展開されました。
2022年、Proofpointはヨーロッパ政府を標的とした大量のTA416活動について報告し、ロシア軍がウクライナ国境に集結し始めるにつれて急増しました。
2026年3月、イラン戦争が地域の安全保障の動態を変える中、TA416は中東全域の外交および政府機関への活動を拡大し、紛争の軌跡と地政学的影響に関する情報を収集しました。
最初の段階としてのウェブバグ偵察
TA416は古典的なフィッシングとウェブバグトラッキングを組み合わせて、マルウェアを展開する前に潜在的な被害者をプロファイリングしました。
このグループはフリーメールアカウント、なりすまし外交官、および侵害された政府のインボックスから大量のメールを送信し、メールが表示されたときにIPアドレス、ユーザーエージェント、および開く時間を静かに漏らす小さなトラッキングピクセルを埋め込みました。
誘い文句は「緊急の人道的懸念」およびインタビューリクエストから、ヨーロッパが「トリップワイア」部隊をグリーンランドに送るべきだと主張するコピーされた記事まで多岐にわたり、受信者ごとのエンゲージメントトラッキングとクリックスルー偵察を可能にするユニークなURLを使用していました。
2025年後半から2026年初頭にかけて、TA416は複数の技術的配信チェーンを循環させましたが、単一の目的を保ちました。DLLサイドローディングトライアドを介してカスタムPlugXバックドアをロードすることです。
キャンペーンはMicrosoftログインフローになりすましたフェイクなCloudflare Turnstileチャレンジページ、信頼できるMicrosoft URLから攻撃者ドメインへポイントするMicrosoft Entra ID (OAuth)リダイレクト、およびPlugXコンポーネントをダウンロードして起動する悪意のあるC#プロジェクトファイルとともにバンドルされたリネームされたMSBuild実行可能ファイルを含むアーカイブを悪用しました。
これらのバリアント全体において、グループはZIPスマグリング(LNKファイルまたはCSPROJダウンローダー付き)に依存して、署名された実行可能ファイル、ローダーDLL、および最終的にPlugXをメモリに注入する暗号化されたペイロードをドロップしました。
PlugXのアップグレードとステルスなC2
TA416のPlugXバリアントは進化し続け、検出を回避するために設計された新しい難読化とコマンドアンドコントロール(C2)トリックを備えています。
最近のサンプルはDLLサイドローディング用の署名された第三者の実行可能ファイル、APIハッシング処理とジャンクコード付きの複雑なローダーロジック、およびRC4で暗号化されたブロブがローリングXORでさらに保護される2段階の構成スキームを使用しています。
C2トラフィックはRC4で暗号化されたバイナリメッセージを使用してHTTP上で伝送され、新しいビルドはランダムなクッキー値と完全にランダム化されたURIパスを使用して、より古いフェッチ形式のヘッダーを削除し、良性のウェブリクエストに融合して署名ベースの検出を破ります。
TA416は、Google Driveでホストされたアーカイブまたはセキュリティがいったん侵害されたSharePointインスタンスへのリンクが含まれるキャンペーンにおいて、初期感染チェーンを再度適応させました。
運用面では、TA416は現在、Cloudflare CDNでフロントされた再登録された以前は合法的なドメイン、および好みのVPSプロバイダでホストされたドメインに依存し、ドメインを信頼できるように見せながら実際のインフラストラクチャを隠すために最小限のフェイクウェブサイトのみを展開しています。
ベンダーレポートはTA416をRedDelta、Red Lich、Vertigo Panda、SmugX、DarkPeony、およびより広いMustang Panda関連エコシステムとして追跡されるクラスターに関連付けています。ただし、Proofpointはta416がUNK_SteadySplitなどの関連クラスターとは異なるツール、インフラストラクチャ、および標的設定を維持していると評価しています。
ヨーロッパと中東の防御者にとって、この継続的な活動は、TA416がスピアフィッシング経由での初期アクセスの実験を続けながらPlugXおよびそのC2を反復する可能性があることを示しており、今後数ヶ月間、階層化されたメール、アイデンティティ、およびネットワーク制御が不可欠になります。
翻訳元: https://gbhackers.com/ta416-broadens-europe/
