Китайская группа продвинутых постоянных угроз (APT), отслеживаемая как TA416, возобновила масштабную кампанию кибершпионажа, нацеленную на европейские государственные и дипломатические структуры. После заметного двухлетнего затишья в целенаправленной деятельности в регионе группа начала новую волну атак с середины 2025 года. Исследователи кибербезопасности приписывают эту кампанию группе TA416 — кластеру активности, который пересекается с другими отслеживаемыми субъектами угроз, включая DarkPeony, RedDelta, Red Lich, SmugX, UNC6384 и Vertigo Panda. Это возобновление активности указывает на стратегический сдвиг и обновленный фокус на сбор разведданных из европейских политических и дипломатических кругов.
Кампания использует многоэтапную цепочку заражения, начинающуюся с высокотаргетированных фишинговых писем. Эти письма разработаны так, чтобы выглядеть легитимно, часто выдавая себя за доверенные организации или лица, чтобы обманом заставить получателей перейти по вредоносным ссылкам. Первоначальное проникновение использует изощренную технику фишинга на основе OAuth. Злоумышленники создают вредоносные приложения Azure, запрашивающие права высокого уровня. Когда жертва обманным путем авторизует такое приложение, злоумышленники получают постоянный доступ к учетной записи Microsoft 365 жертвы без необходимости напрямую красть или управлять паролями, обходя традиционную защиту многофакторной аутентификации (MFA). Этот метод обеспечивает скрытый и постоянный плацдарм в облачной среде цели.
После получения первоначального доступа TA416 развертывает трояна удаленного доступа (RAT) PlugX — модульное вредоносное семейство с долгой историей использования китайскими группами, поддерживаемыми государством. PlugX предоставляет злоумышленникам полный удаленный контроль над скомпрометированными системами, позволяя осуществлять кражу данных, наблюдение и перемещение внутри сетей. Использование PlugX в сочетании с вектором атаки через фишинг OAuth демонстрирует смесь традиционного, проверенного вредоносного ПО с современными облачно-ориентированными методами атак. Этот гибридный подход максимизирует шансы на успешное и незамеченное вторжение.
Таргетирование европейских правительственных и дипломатических организаций позволяет предположить, что основной целью кампании является сбор разведывательной информации. Похищенные данные могут включать конфиденциальную политическую переписку, документы по политике и дипломатическую почту, что дает ценное представление о процессе принятия решений в Европейском союзе, внешнеполитических позициях и международных переговорах. Компании в области кибербезопасности и национальные CERT (Команды реагирования на компьютерные инциденты) призывают целевые секторы повысить бдительность, внедрить строгие политики согласия приложений в средах OAuth/OAuth 2.0, проводить обучение пользователей по тактикам продвинутого фишинга и отслеживать аномальную активность приложений в своих облачных тенантах.
