Zagrożenia z Chin skierowane na europejskie organizacje rządowe i dyplomatyczne

Od połowy 2025 roku, aktor zagrożenia związany z Chinami zaczął intensyfikować swoje ataki na europejskie organizacje rządowe oraz dyplomatyczne, po dwuletnim okresie minimalnego zainteresowania w tym regionie. Kampanie te zostały przypisane grupie TA416, której aktywności pokrywają się z innymi grupami, takimi jak DarkPeony, RedDelta, Red Lich, SmugX, UNC6384 oraz Vertigo Panda.

Badacze z Proofpoint, Mark Kelly i Georgi Mladenov, podkreślają, że „akta TA416 obejmują wiele fal kampanii dostarczania złośliwego oprogramowania i tzw. web bugów, wymierzonych w misje dyplomatyczne UE oraz NATO w różnych krajach europejskich”. Analiza pokazała, że TA416 regularnie zmieniało łańcuch infekcji, w tym wykorzystywało strony z wyzwaniami Cloudflare Turnstile, nadużywało przekierowań OAuth oraz wykorzystywało pliki projektów C#, a także często aktualizowało swój niestandardowy ładunek PlugX.

Wszechobecność TA416 w konfliktach regionalnych

Grupa TA416 była również obserwowana przy organizowaniu kampanii wymierzonych w podmioty dyplomatyczne i rządowe na Bliskim Wschodzie, w kontekście konfliktu USA-Izrael-Iran, który wybuchł pod koniec lutego 2026 roku. Eksperci sugerują, że działania te mają na celu zdobycie informacji wywiadowczych związanych z tym konfliktem.

Warto zauważyć, że TA416 dzieli także historyczne techniczne pokrycia z inną grupą pod nazwą Mustang Panda (znana także jako CerenaKeeper, Red Ishtar i UNK_SteadySplit). Obie grupy aktywności są zbiorczo śledzone pod takimi nazwami jak Earth Preta, Hive0154, HoneyMyte, Stately Taurus, Temp.HEX oraz Twill Typhoon.

Techniki ataku i ewolucja strategii

Ataki TA416 są charakterystyczne użyciem własnych wariantów PlugX, podczas gdy grupa Mustang Panda często wykorzystywała takie narzędzia jak TONESHELL, PUBLOAD oraz COOLCLIENT w swoich licznych atakach. Co łączy obydwie grupy, to metoda wykorzystywania DLL side-loading do uruchamiania złośliwego oprogramowania.

Wzrost aktywności TA416 w europie jest efektorem kombinacji kampanii dostarczania złośliwego oprogramowania oraz web bugów. Aktorzy zagrożenia korzystają z kont e-mail freemail, aby przeprowadzać rekonesans i dostarczać backdoora PlugX za pośrednictwem złośliwych archiwów hosted na Microsoft Azure Blob Storage, Google Drive oraz domenach pod ich kontrolą.

Techniki phishingowe i nowe metody ataków

TA416 wykorzystywała również aplikacje chmurowe Microsoft Entra ID do inicjowania przekierowań do pobierania złośliwych archiwów. E-maile phishingowe w ramach tej fali ataku zawierały link do legalnego punktu autoryzacji OAuth Microsoftu, który po kliknięciu przekierowywał użytkownika na domenę kontrolowaną przez atakującego. Takie działania nie umknęły uwadze Microsoftu, który w zeszłym miesiącu ostrzegł o kampaniach phishingowych ukierunkowanych na organizacje rządowe i publiczne, które wykorzystują mechanizmy przekierowania OAuth w celu ominięcia tradycyjnych obron przed phishingiem.

Znaczenie dla bezpieczeństwa europejskiego

Skala działań TA416 koncentruje się na wzmocnieniu zbierania informacji wywiadowczych względem podmiotów dyplomatycznych UE oraz NATO. Jak zaznaczono, „przesunięcie TA416 z powrotem na cele rządowe w Europie w połowie 2025 r., po dwuletnim skupieniu się na Azji Południowo-Wschodniej i Mongolii, jest zgodne z odnowionym celem zbierania informacji”.

WAbrzmieniu, grupy cybernetyczne skupione na Chinach wykazują ewolucję z strategicznych działań w latach 2010-tych do wysoce adaptacyjnych, ukierunkowanych na identyfikację intruzji, z zamiarem długoterminowego utrzymywania się w sieciach krytycznej infrastruktury. To ukazuje głębokość zagrożeń i długofalowe intencje aktorów cybernetycznych w tej sferze.