Proofpoint研究员Mark Kelly和Georgi Mladenov在报告中指出,这个团体过去两年对欧洲目标保持低调,现在却发起多波网络攻击。TA416的行动覆盖欧盟和北约外交使团,分布在多个欧洲国家。他们不断调整感染链条,先是滥用Cloudflare Turnstile挑战页,再转向OAuth重定向,还用C#项目文件伪装。链上数据显示,TA416在2025年10月已记录类似PlugX投放活动,由StrikeReady和Arctic Wolf首次披露。攻击从免费邮箱发送侦察邮件开始,嵌入web bug追踪像素。像素激活时,向远程服务器发HTTP请求,泄露收件人IP、用户代理和访问时间。TA416据此判断邮件是否击中目标,然后推送托管在Azure Blob Storage、Google Drive或自控域名下的恶意压缩包。这些包解压后植入定制PlugX变种,后门支持五种命令,包括抓取系统信息、卸载自身、调整信标间隔、下载新负载和开启反向壳。
12月攻击波次中,TA416钓鱼邮件链接微软合法OAuth授权端点。点击后重定向到攻击者域名,最终下载PlugX。微软上月已警告,这种OAuth URL重定向绕过邮件和浏览器传统防御,专攻政府公共部门。2月他们升级链条,档案放Google Drive或被控SharePoint。档案内塞合法MSBuild可执行文件加恶意C#项目。MSBuild运行时扫描目录,自动编译项目文件。项目充当下loader,解码三个Base64 URL,从TA416域名拉DLL侧加载三元组到temp目录。用合法签名可执行启动,绕过检测植入PlugX。PlugX上线前跑反分析检查,再加密连C2服务器。TA416还扩展中东目标,2026年2月底美以伊冲突爆发后瞄准当地政府外交实体,收集区域情报。报告归因TA416与Mustang Panda重叠,后者用TONESHELL、PUBLOAD工具,但两者都爱DLL侧加载。
这个团伙从东南亚和蒙古转向欧洲,响应欧盟北约情报需求。中东行动跟地缘热点走,3月加码。Darktrace分析2022年7月至2025年9月攻击,美国组织占全球事件22.5%,意大利西班牙德国泰国英国巴拿马哥伦比亚菲律宾香港紧随。中国系行动从2010年代战略对齐,转为身份中心持久潜伏。63%案例利用互联网暴露基础设施漏洞,如CVE-2025-31324和CVE-2025-0994获初脚。一例中,攻击者全控环境,潜伏超600天才现身。TA416迭代快,假Cloudflare页、OAuth滥用、MSBuild递送轮换用,PlugX持续更新。企业得警惕这种适应性钓鱼,尤其外交圈。