TA416として知られる中国関連の脅威グループは、ヨーロッパの政府機関と外交機関を標的としたサイバー諜報活動を再開し、ステルス的な偵察技術と進化するマルウェア配信チェーンを使用しています。
2023年から2025年中頃までのヨーロッパでの活動低下期間の後、同グループはEU、NATO、および世界紛争に関わる地政学的緊張の高まりに呼応するキャンペーンで、更新された焦点を持って復帰しました。
セキュリティ研究者は、TA416がフィッシングメールに目に見えないトラッキングピクセルを埋め込むWebバグ偵察技術を利用していることを観察しました。
受信者がメールを開くと、WebバグはIPアドレス、デバイスの詳細、メール開封時刻などの情報を静かに返信します。これにより、攻撃者はより高度なマルウェア攻撃を開始する前に、高価値ターゲットを確認することができます。
同グループは主にヨーロッパ全域の外交使節、外務省、防衛機関を標的としています。
キャンペーンは、受信者にメールを開かせたりリンクをクリックさせたりするために、人道的問題、地政学的な発展、政策討議などの現実的な誘い文句を使用することが多いです。
偵察がアクティブなターゲットを確認すると、TA416はPlugXバックドアのカスタマイズ版を展開するためにマルウェア配信キャンペーンで追跡します。
同グループは、信頼性を高め、セキュリティフィルタをバイパスするために、無料メールアカウントと侵害された政府メールアドレスの混合を使用しています。
感染チェーンは大きく進化しました。以前のキャンペーンは偽の確認ページと圧縮アーカイブを使用していましたが、新しい方法は悪意のあるペイロードをホストするために合法的なクラウドサービスと信頼できるプラットフォームを悪用しています。
場合によっては、攻撃者はMicrosoft認証フローを悪用して犠牲者をマルウェアダウンロードにリダイレクトし、セキュリティツールによる検出を回避しています。
最近のキャンペーンでは、静かに追加のペイロードをダウンロードする悪意のあるプロジェクトファイルと共に、MSBuildなどのProofpointの正当なWindowsツールの使用も導入されました。
これらのペイロードは通常、署名付き実行可能ファイル、悪意のあるDLL、および暗号化されたデータを含み、これらが一緒にDLLサイドロードを介してPlugXをメモリにロードします。
TA416はヨーロッパ以外の地域にも作戦を拡大しました。2026年初頭、同グループは地域紛争に続く中東外交機関を標的とし、世界的なイベントに駆動される広いインテリジェンス収集戦略を示唆しています。
全体的に、TA416は低ノイズ偵察と適応可能な感染チェーンを組み合わせることで、その戦術を継続的に改善しています。
特に外交および政府に関連する組織は、メールセキュリティを強化し、異常な送信接続を監視し、一見正当な通信に警戒を続けるよう勧告されています。
翻訳元: https://cyberpress.org/ta416-expands-europe-espionage/