استأنفت مجموعة تهديد متقدم مستمر (APT) موالية للصين، تُتعقب تحت اسم TA416، حملة تجسس إلكتروني كبيرة تستهدف الكيانات الحكومية والدبلوماسية الأوروبية. بعد هدوء ملحوظ استمر لعامين في النشاط المركز داخل المنطقة، بدأت المجموعة موجة جديدة من الهجمات اعتبارًا من منتصف عام 2025. يُعزز الباحثون الأمنيون هذه الحملة إلى TA416، وهي مجموعة نشاط تتداخل مع جهات فاعلة أخرى معروفة يتم تتبعها، بما في ذلك DarkPeony وRedDelta وRed Lich وSmugX وUNC6384 وVertigo Panda. يشير هذا العودة إلى تحول استراتيجي وتركيز متجدد على جمع المعلومات الاستخباراتية من الأوساط السياسية والدبلوماسية الأوروبية.
تستخدم الحملة سلسلة إصابة متعددة الجوانب، تبدأ برسائل بريد إلكتروني تصيدية مستهددة للغاية. تم تصميم هذه الرسائل الإلكترونية لتظهر شرعية، وغالبًا ما تنتحل هويات كيانات أو أفراد موثوقين لخداع المستلمين للنقر على روابط ضارة. يستغل الاختراق الأولي تقنية تصيد متطورة قائمة على OAuth. ينشئ المهاجمون تطبيقات Azure ضارة تطلب أذونات عالية المستوى. عندما يتم خداع الضحية للتصريح لهذا التطبيق، يكتسب المهاجمون وصولاً مستمرًا إلى حساب Microsoft 365 للضحية دون الحاجة إلى سرقة كلمات المرور أو إدارتها مباشرة، متجاوزين حماية المصادقة متعددة العوامل (MFA) التقليدية. توفر هذه الطريقة موطئ قدم خفيًا ومستمرًا داخل بيئة السحابة المستهدفة.
بعد الوصول الأولي، تقوم TA416 بنشر حصان طروادة للوصول عن بُعد (RAT) يُدعى PlugX، وهي عائلة برمجيات خبيثة معيارية لها تاريخ طويل من الاستخدام من قبل مجموعات تدعمها الدولة الصينية. يوفر PlugX للمهاجمين تحكمًا كاملاً عن بُعد في الأنظمة المخترقة، مما يتيح سرقة البيانات والمراقبة والحركة الجانبية داخل الشبكات. يظهر استخدام PlugX، إلى جانب ناقل التصيد OAuth، مزيجًا من البرمجيات الخبيثة التقليدية المجربة والتقنيات الهجومية الحديثة المركزة على السحابة. تزيد هذه المنهجية الهجينة من فرص التسلل الناجح وغير المكتشف.
يشير استهداف المنظمات الحكومية والدبلوماسية الأوروبية إلى أن الهدف الأساسي للحملة هو جمع المعلومات الاستخباراتية. قد تشمل البيانات المسروقة اتصالات سياسية حساسة ووثائق سياسية وبرقيات دبلوماسية، مما يوفر رؤية قيمة حول صنع القرار في الاتحاد الأوروبي والمواقف السياسية الخارجية والمفاوضات الدولية. تحث شركات الأمن السيبراني وفرق الاستجابة للطوارئ الحاسوبية الوطنية (CERTs) القطاعات المستهدفة على تعزيز اليقظة، وتنفيذ سياسات موافقة صارمة للتطبيقات في بيئات OAuth/OAuth 2.0، وإجراء تدريبات توعوية للمستخدمين حول تكتيكات التصيد المتقدمة، ومراقبة نشاط التطبيقات غير الطبيعي داخل مستأجري السحابة الخاصة بهم.
