Китайско-ориентированная хакерская группа TA416 возобновила масштабные кибершпионские операции против европейских правительственных и дипломатических структур, а также расширила активность на Ближний Восток. По данным исследователей Proofpoint, после почти двухлетнего затишья в Европе кампании группы с середины 2025 года вновь нацелены на дипломатические миссии при ЕС и НАТО в ряде европейских стран.
Кто такие TA416: связи с Mustang Panda и другими кибершпионскими кластерами
TA416 — это устойчивый кластер кибершпионской активности, который в аналитических отчетах пересекается с группами DarkPeony, RedDelta, Red Lich, SmugX, UNC6384 и Vertigo Panda. Исторически у него также отмечены технические пересечения с известным китайским кластером Mustang Panda (также CerenaKeeper, Red Ishtar, UNK_SteadySplit).
Оба направления деятельности нередко агрегируются под общими названиями Earth Preta, Hive0154, HoneyMyte, Stately Taurus, Temp.HEX, Twill Typhoon. При этом TA416 традиционно ассоциируется с использованием кастомных вариантов вредоносной программы PlugX, тогда как Mustang Panda в последних атаках активно применяет инструменты TONESHELL, PUBLOAD и COOLCLIENT. Общим для обеих групп остается ключевой технический прием — DLL side‑loading, то есть подмена или подгрузка вредоносной библиотеки через доверенное подписанное приложение.
Цели и география атак: ЕС, НАТО и Ближний Восток
С середины 2025 года TA416 снова системно атакует европейские правительственные и дипломатические структуры, фокусируясь на миссиях при ЕС и НАТО. Кампании строятся вокруг комбинации разведки через web bug (tracking pixel) и последующей доставки вредоносного ПО.
С конца февраля 2026 года, на фоне конфликта США–Израиль–Иран, фиксируются отдельные серии атак на правительственные и дипломатические организации Ближнего Востока. По оценке экспертов, цель — сбор разведданных о региональной обстановке и реакции государств на эскалацию.
Инструментарий TA416: PlugX, web bug, облачные сервисы и OAuth‑редиректы
Web bug как малозаметный этап разведки
На первом этапе злоумышленники активно используют web bug (tracking pixel) — крошечный невидимый объект в теле письма, который при открытии письма обращается к удаленному серверу. Это позволяет атакующим получить IP‑адрес, user‑agent и время открытия, и тем самым подтвердить, что письмо прочитал именно целевой сотрудник дипломатической или госструктуры.
Доставка PlugX через облака Microsoft и Google
Для полноценной компрометации TA416 доставляет PlugX-backdoor в виде вредоносных архивов, размещенных на Microsoft Azure Blob Storage, Google Drive, скомпрометированных экземплярах SharePoint и доменах под контролем злоумышленников. Рассылка ведется с freemail‑аккаунтов, что усложняет блокировку по доменной репутации. Эти PlugX‑кампании ранее подробно разбирались компаниями StrikeReady и Arctic Wolf осенью 2025 года.
Злоупотребление OAuth и Microsoft Entra ID
В декабре 2025 года TA416 начала использовать сторонние облачные приложения Microsoft Entra ID и легитимный OAuth‑эндпоинт Microsoft в фишинговых письмах. Получатель видит ссылку на официальный адрес авторизации Microsoft, однако после клика происходит редирект на домен злоумышленников и загрузка архива с PlugX.
Microsoft отдельно предупреждала о фишинговых кампаниях против госорганов и публичного сектора, в которых механизмы OAuth URL‑редиректа используются для обхода классической антифишинговой проверки почтовых шлюзов и браузеров.
MSBuild и C#‑проекты: новая цепочка заражения в 2026 году
С февраля 2026 года исследователи фиксируют дальнейшее усложнение цепочки заражения. Вместо непосредственной загрузки исполняемых файлов жертве предлагают архив, размещенный на Google Drive или скомпрометированном SharePoint. В архиве содержится легитимный исполняемый файл Microsoft MSBuild и вредоносный C#‑проект (CSPROJ).
При запуске MSBuild автоматически находит проектный файл в текущем каталоге и «собирает» его. В случае TA416 CSPROJ работает как загрузчик: он декодирует несколько Base64‑URL, скачивает с домена злоумышленников «триаду» для DLL side‑loading, сохраняет файлы во временный каталог и запускает доверенное подписанное приложение, которое подгружает библиотеку PlugX по типичной для группы схеме.
Несмотря на регулярные изменения легитимных исполняемых файлов для подгрузки DLL, PlugX остается постоянным элементом атак TA416. Backdoor устанавливает зашифрованный канал связи с командным сервером (C2), предварительно выполняя проверку на анализ в песочнице и наличие инструментов отладки, чтобы усложнить детектирование.
Тенденции китайских киберопераций: долгосрочная скрытность и критическая инфраструктура
На фоне активности TA416 компания Darktrace отмечает более широкий тренд: китайско-ассоциированные кибероперации эволюционировали от точечных «стратегических» атак 2010‑х годов к 高度 адаптивным, ориентированным на учетные записи и долгосрочную скрытность вторжениям в сети критической инфраструктуры.
По результатам анализа атак с июля 2022 по сентябрь 2025 года, на долю организаций в США пришлось 22,5% всех зафиксированных инцидентов, далее следуют Италия, Испания, Германия, Таиланд, Великобритания, Панама, Колумбия, Филиппины и Гонконг. В 63% случаев первоначальный доступ достигался за счет эксплуатации интернет-экспонированных систем (включая уязвимости вроде CVE‑2025‑31324 и CVE‑2025‑0994).
В одном из инцидентов злоумышленники полностью скомпрометировали инфраструктуру, закрепились в сети и затем вернулись более чем через 600 дней «паузы». Такой интервал подчеркивает стратегическую нацеленность на длительное скрытое присутствие и возможность активации доступа в удобный для атакующих момент.
Для государственных структур, дипмиссий и операторов критической инфраструктуры описанные кампании TA416 — сигнал к пересмотру моделей угроз и приоритетов защиты. На практике это означает необходимость жесткого контроля OAuth‑приложений и редиректов, ограничение и мониторинг использования MSBuild и других инструментов разработки на рабочих станциях, внедрение политик против DLL side‑loading, а также регулярное обновление интернет-экспонированных систем. В сочетании с многофакторной аутентификацией, антивзломным мониторингом почты и поведенческой аналитикой такие меры существенно повышают шансы своевременно обнаружить сложные кибершпионские операции и минимизировать их последствия.
