Die China-orientierte Hackergruppe TA416 hat ihre Cyberspionage-Aktivitäten massiv ausgeweitet: Nach einer rund zweijährigen Ruhephase rücken seit Mitte 2025 erneut diplomatische Vertretungen bei EU und NATO in den Fokus, seit Anfang 2026 zusätzlich Regierungs- und Außenbehörden im Nahen Osten. Die Gruppe kombiniert moderne Cloud- und OAuth-Techniken mit dem langjährig genutzten Spionage-Tool PlugX.
TA416 im Kontext chinesischer APT‑Cluster
TA416 wird von verschiedenen Sicherheitsanbietern als beständiger Cyberspionage‑Cluster mit China-Bezug geführt und überschneidet sich in TTPs (Tactics, Techniques and Procedures) mit Gruppen wie DarkPeony, RedDelta, Red Lich, SmugX, UNC6384 und Vertigo Panda. Technische Gemeinsamkeiten bestehen zudem zum bekannten Cluster Mustang Panda (auch CerenaKeeper, Red Ishtar, UNK_SteadySplit).
In aggregierten Bedrohungsmodellen tauchen diese Aktivitäten unter Sammelbezeichnungen wie Earth Preta, Hive0154, HoneyMyte, Stately Taurus, Temp.HEX oder Twill Typhoon auf. Während TA416 traditionell auf maßgeschneiderte PlugX-Varianten setzt, nutzt Mustang Panda aktuell verstärkt TONESHELL, PUBLOAD und COOLCLIENT. Eine zentrale technische Konstante beider Cluster ist das DLL‑Sideloading, also das Einschleusen bösartiger Bibliotheken über scheinbar vertrauenswürdige, signierte Programme.
Zielauswahl: EU, NATO und Nahost im geopolitischen Fokus
Seit Mitte 2025 konzentrieren sich Kampagnen von TA416 wieder systematisch auf europäische Regierungs- und Diplomatenstrukturen. Im Zentrum stehen Missionen bei EU und NATO in mehreren Mitgliedstaaten. Dabei geht es erkennbar um den langfristigen Zugriff auf Verhandlungspositionen, Lageeinschätzungen und vertrauliche Kommunikationskanäle.
Ab Ende Februar 2026 registrieren Forscher zudem Kampagnen gegen Regierungen und diplomatische Vertretungen im Nahen Osten, zeitlich eingebettet in die Eskalation des Konflikts USA–Israel–Iran. Ziel ist offenbar die politische und sicherheitspolitische Aufklärung zu Reaktionen einzelner Staaten auf die sich zuspitzende Lage.
Werkzeuge und Angriffswege von TA416
Unauffällige Aufklärung per Tracking-Pixel
Der erste Schritt vieler Kampagnen ist ein nahezu unsichtbarer web bug, auch Tracking-Pixel genannt. Dabei handelt es sich um ein 1×1‑Pixel‑Objekt im E‑Mail‑Body, das beim Öffnen der Nachricht einen Server der Angreifer kontaktiert. So erfassen diese IP‑Adresse, User-Agent und Öffnungszeitpunkt und können verifizieren, ob die Nachricht tatsächlich von einer Zielperson in einer Behörde oder Botschaft gelesen wurde.
PlugX-Backdoor über Cloud-Dienste und OAuth-Phishing
Für die eigentliche Infektion setzt TA416 auf Archive mit der PlugX‑Backdoor, die über Microsoft Azure Blob Storage, Google Drive, kompromittierte SharePoint‑Instanzen sowie eigene Domains bereitgestellt werden. Der Versand erfolgt überwiegend über Freemail-Konten, was einfache Filtermechanismen auf Basis von Domain-Reputation umgeht und den Phishing-Mails ein scheinbar harmloses Erscheinungsbild verleiht.
Seit Dezember 2025 missbraucht die Gruppe zudem Microsoft Entra ID (Azure AD) und legitime OAuth‑Autorisierungsendpunkte. Opfer klicken auf einen offiziell wirkenden Microsoft‑Login‑Link, werden nach der Autorisierung jedoch über einen OAuth‑Redirect auf eine Angreifer-Domain umgeleitet, von der ein Archiv mit PlugX heruntergeladen wird. Solche Techniken erschweren klassischen E‑Mail-Gateways und Browser-Filtern die Erkennung, da die initiale URL auf eine legitime Microsoft‑Domain zeigt.
MSBuild- und DLL‑Sideloading-Kette 2026
Seit Februar 2026 setzt TA416 eine weiter verfeinerte Infektionskette ein. Anstelle direkter EXE-Dateien erhalten Opfer ein Archiv von Google Drive oder einem kompromittierten SharePoint, das eine legitime MSBuild‑Binary sowie ein bösartiges C#‑Projekt (CSPROJ) enthält. MSBuild ist eigentlich ein legales Microsoft‑Build‑Werkzeug, das in vielen Unternehmensumgebungen vorhanden ist.
Beim Ausführen von MSBuild wird das Projekt im aktuellen Ordner automatisch geladen. In den beobachteten Kampagnen fungiert das CSPROJ als Downloader: Es dekodiert mehrere Base64‑URLs, lädt von Angreifer-Servern eine typische „Triade“ für DLL‑Sideloading herunter, speichert sie im temporären Verzeichnis und startet anschließend ein signiertes Programm, das die manipulierte DLL einbindet. Trotz wechselnder legitimer Loader‑Programme bleibt PlugX als Kernkomponente konstant, etabliert einen verschlüsselten C2‑Kanal und prüft vor Aktivierung auf Sandbox- und Analysewerkzeuge.
Strategische Trends chinesischer Cyberoperationen
Analysen von Sicherheitsanbietern wie Darktrace zeigen, dass China-assoziierte Operationen sich von Einmalangriffen der 2010er Jahre hin zu hochgradig anpassungsfähigen, kontoorientierten und langfristig verdeckten Operationen gegen kritische Infrastrukturen entwickeln. Zwischen Juli 2022 und September 2025 entfielen 22,5 % der beobachteten Vorfälle auf Organisationen in den USA, gefolgt von Italien, Spanien, Deutschland, Thailand, Großbritannien, Panama, Kolumbien, den Philippinen und Hongkong.
In 63 % der Fälle wurde der Erstzugang über verwundbare internet-exponierte Systeme erreicht, darunter Schwachstellen wie CVE‑2025‑31324 und CVE‑2025‑0994. In einem dokumentierten Fall kehrten Angreifer mehr als 600 Tage nach der Erstkompromittierung in dieselbe Infrastruktur zurück – ein deutliches Indiz für das strategische Ziel, Dauerzugriffe für den Krisenfall vorzuhalten.
Für Behörden, diplomatische Vertretungen und Betreiber kritischer Infrastrukturen sind die aktuellen TA416-Kampagnen ein klarer Hinweis, ihre Bedrohungsmodelle und Schutzprioritäten anzupassen. Entscheidend sind ein striktes Management von OAuth‑Anwendungen und Redirects, die Einschränkung und Protokollierung von MSBuild und anderen Entwicklerwerkzeugen auf Clients, Policies gegen DLL‑Sideloading, konsequentes Patch-Management für internet-exponierte Systeme, der flächendeckende Einsatz von Multi-Faktor-Authentifizierung sowie verhaltensbasierte E‑Mail- und Netzwerküberwachung. Organisationen, die diese Maßnahmen kombinieren, erhöhen ihre Chancen erheblich, komplexe Cyberspionageoperationen frühzeitig zu erkennen und ihre Auswirkungen zu begrenzen.
