Китайськоорієнтована APT‑група TA416 після майже дворічної паузи знову розгорнула масштабні кібершпіонажні кампанії проти європейських урядових і дипломатичних структур, а також вийшла на цілі на Близькому Сході. За даними Proofpoint, з середини 2025 року основний фокус зміщено на дипломатичні місії при ЄС та НАТО, де застосовуються складні багатоступеневі ланцюжки зараження з використанням PlugX, MSBuild та зловживанням OAuth‑механізмами.
Походження та зв’язки TA416 з іншими китайськими APT‑кластерами
TA416 розглядається дослідниками як стійкий кластер кібершпіонажної активності, що перетинається з групами DarkPeony, RedDelta, Red Lich, SmugX, UNC6384, Vertigo Panda. Історично фіксувалися технічні збіги з відомою китайською групою Mustang Panda (CerenaKeeper, Red Ishtar, UNK_SteadySplit), що вказує на спільну технічну базу та, ймовірно, часткове перетинання операторів.
Обидві лінії активності часто консолідують під ширшими позначеннями на кшталт Earth Preta, Hive0154, HoneyMyte, Stately Taurus, Temp.HEX, Twill Typhoon. При цьому TA416 традиційно асоціюється з кастомізованими збірками backdoor‑програми PlugX, тоді як Mustang Panda у новіших операціях орієнтується на інструменти TONESHELL, PUBLOAD, COOLCLIENT. Спільним ядром технік залишається DLL side‑loading — підвантаження шкідливої бібліотеки через легітимний підписаний виконуваний файл.
Географія та завдання атак: дипломатія ЄС/НАТО і Близький Схід
З середини 2025 року TA416 послідовно атакує дипломатичні представництва та державні структури європейських країн, насамперед місії при ЄС та НАТО. Спочатку оператори проводять розвідку через прихований web bug, а після підтвердження інтересу цільового адресата переходять до доставки шкідливого ПЗ.
З кінця лютого 2026 року спостерігається розширення активності на урядові та дипломатичні організації Близького Сходу, що збігається в часі з загостренням конфлікту США–Ізраїль–Іран. Основна мета таких кампаній, на думку аналітиків, — збір розвідувальних даних про реакцію регіональних гравців і можливі зміни зовнішньополітичних курсів.
Ключові техніки TA416: від web bug до зловживання OAuth
Web bug як малопомітний етап первинної розвідки
Першою стадією атаки часто стає web bug (tracking pixel) — невидимий піксель у тілі листа. При відкритті такого листа клієнт електронної пошти звертається до сервера атакувальника, передаючи IP‑адресу, user‑agent та час відкриття. Це дозволяє TA416 точно визначити, чи прочитав повідомлення співробітник цільової дипломатичної або держустанови, та чи доцільно переходити до другої фази компрометації.
Доставка PlugX через хмарні сервіси Microsoft і Google
На наступному етапі використовується PlugX‑backdoor, упакований у архіви, розміщені на Microsoft Azure Blob Storage, Google Drive, скомпрометованих інстансах SharePoint або контрольованих зловмисниками доменах. Розсилка йде з freemail‑акаунтів, що знижує ефективність фільтрації за доменною репутацією. Використання популярних хмарних платформ ускладнює детектування, адже трафік до них часто вважається довіреним і пропускається міжмережевими екранами без додаткової перевірки.
Зловживання OAuth та Microsoft Entra ID в цільовому фішингу
З грудня 2025 року TA416 почала вбудовувати у фішингові листи посилання на сторонні хмарні застосунки Microsoft Entra ID, використовуючи легітимний OAuth‑ендпоінт Microsoft. Користувач бачить звичну сторінку авторизації Microsoft, однак після кліку відбувається редирект на домен атакувальників, де жертві пропонується завантажити архів із PlugX. Така техніка зловживає механізмом OAuth URL‑редиректа, дозволяючи обходити класичні антифішингові перевірки поштових шлюзів і браузерів, які орієнтуються насамперед на домен першого переходу.
MSBuild і C#‑проєкти: новий ланцюжок зараження у 2026 році
З лютого 2026 року фіксується подальша еволюція інструментарію TA416. Замість прямого завантаження виконуваних файлів ціль отримує архів із Google Drive чи скомпрометованого SharePoint, у якому містяться легітимний виконуваний файл Microsoft MSBuild та шкідливий C#‑проєкт (CSPROJ). Після запуску MSBuild автоматично знаходить проєкт у поточному каталозі та «збирає» його, що в очах користувача виглядає як звичайний запуск системного компонента.
У схемі TA416 CSPROJ виконує роль завантажувача: декодує кілька Base64‑URL, отримує з серверів зловмисників «тріаду» для DLL side‑loading, зберігає файли у тимчасовому каталозі та запускає довірений підписаний застосунок, який підтягує бібліотеку PlugX. Хоча конкретні легітимні виконувані файли періодично змінюються, PlugX залишається стабільним елементом ланцюжка. Backdoor встановлює зашифрований канал із C2‑сервером, попередньо перевіряючи середовище на ознаки песочниць та налагоджувальників, що ускладнює форензик і детектування.
Тенденції китайських кіберооперацій і практичні рекомендації захисту
На тлі активності TA416 аналітики Darktrace відзначають загальний тренд: китайськоасоційовані операції зміщуються від поодиноких «точкових» атак до довготривалих прихованих вторгнень у мережі критичної інфраструктури, орієнтованих на компрометацію облікових записів та розгортання стійких плацдармів доступу. За їхньою оцінкою, з липня 2022 по вересень 2025 року на США припало 22,5% виявлених інцидентів, далі йдуть Італія, Іспанія, Німеччина, Таїланд, Велика Британія, Панама, Колумбія, Філіппіни та Гонконг. У 63% випадків початковий доступ здобували шляхом експлуатації інтернет‑експонованих систем, зокрема через уразливості на кшталт CVE‑2025‑31324 та CVE‑2025‑0994.
Показовим є інцидент, коли зловмисники повністю закріпилися в інфраструктурі організації, а потім повернулися до активної діяльності більше ніж через 600 днів «тиші». Така стратегічна витримка демонструє, що для китайських APT на кшталт TA416 пріоритетом є тривала прихована присутність, а не миттєве руйнування.
Для державних органів, дипломатичних місій та операторів критичної інфраструктури ці кампанії — сигнал до перегляду моделей загроз. Практично це означає жорсткий контроль і ревізію OAuth‑застосунків і редиректів, обмеження та моніторинг використання MSBuild й інших інструментів розробки на робочих станціях, впровадження політик протидії DLL side‑loading (білих списків, контролю цілісності, блокування запуску незвичних бінарних файлів поряд із підписаними EXE). Не менш важливими залишаються регулярне оновлення інтернет‑експонованих сервісів, багатофакторна аутентифікація, посилений антивзломний захист пошти та поведінкова аналітика в мережі. Поєднання цих заходів суттєво підвищує шанси вчасно виявити кібершпіонажні операції рівня TA416, зірвати їхні цілі та мінімізувати потенційні наслідки для національної безпеки й стійкості критичної інфраструктури.
