Attaque de phishing TA416
Depuis mi-2025, un groupe de cybercriminels lié à la Chine a refait surface, ciblant principalement les entités gouvernementales et diplomatiques européennes, après près de deux ans d'activité réduite dans la région. Cette campagne a été attribuée à TA416, un cluster également associé à DarkPeony, RedDelta, Red Lich, SmugX, UNC6384 et Vertigo Panda.
Les opérations ont principalement ciblé des missions diplomatiques liées à l'Union européenne et à l'OTAN dans plusieurs pays. Ces campagnes consistent en des vagues coordonnées impliquant le suivi des pixels espions et la diffusion de logiciels malveillants, ce qui témoigne d'un effort structuré et persistant de collecte de renseignements.
Table des matières
Élargissement du champ d’action dû aux tensions géopolitiques
TA416 a étendu son champ d'action au-delà de l'Europe, lançant des campagnes contre des organisations gouvernementales et diplomatiques au Moyen-Orient suite à l'escalade du conflit entre les États-Unis, Israël et l'Iran en février 2026.
Cette expansion témoigne d'un effort stratégique visant à recueillir des renseignements régionaux sensibles, soulignant à quel point les priorités de ciblage du groupe sont étroitement alignées sur l'évolution de la situation géopolitique.
Écosystèmes de menaces qui se chevauchent et techniques partagées
TA416 présente des similitudes techniques notables avec un autre groupe de menaces avancées communément appelé Mustang Panda, également connu sous les noms de CerenaKeeper, Red Ishtar et UNK_SteadySplit. Ces deux groupes sont suivis collectivement sous des classifications plus larges telles que Earth Preta, Hive0154, HoneyMyte, Stately Taurus, Temp.HEX et Twill Typhoon.
Alors que TA416 est principalement associé à des variantes personnalisées du malware PlugX, Mustang Panda utilise fréquemment des outils tels que TONESHELL, PUBLOAD et COOLCLIENT. Malgré ces différences, les deux groupes s'appuient fortement sur le chargement latéral de DLL comme technique d'exécution principale, ce qui témoigne de méthodologies opérationnelles communes.
Chaînes d’infection adaptatives et techniques de transmission
TA416 a fait preuve d'une grande flexibilité en faisant constamment évoluer ses chaînes d'infection. Parmi les techniques observées lors des différentes campagnes, on note l'exploitation abusive des pages de vérification Cloudflare Turnstile, l'utilisation de mécanismes de redirection OAuth et l'emploi de fichiers de projet C# malveillants.
Le groupe diffuse des logiciels malveillants via des courriels d'hameçonnage envoyés depuis des adresses électroniques gratuites. Ces messages contiennent souvent des liens vers des archives malveillantes hébergées sur des plateformes telles que Microsoft Azure Blob Storage, Google Drive, des domaines contrôlés par l'attaquant ou des environnements SharePoint compromis.
Une technique de reconnaissance essentielle consiste à utiliser des pixels espions, de petits éléments de suivi invisibles intégrés aux courriels. À l'ouverture de ces derniers, des requêtes HTTP sont déclenchées, exposant des métadonnées du destinataire telles que son adresse IP, son navigateur et l'heure d'accès, ce qui permet aux attaquants de confirmer l'interaction et d'affiner leur ciblage.
Abus d’OAuth et diffusion de logiciels malveillants via le cloud
Fin 2025, les campagnes TA416 exploitaient des points de terminaison d'autorisation OAuth Microsoft légitimes. Les victimes qui cliquaient sur des liens d'hameçonnage étaient redirigées via des flux d'authentification de confiance avant d'être discrètement transférées vers une infrastructure contrôlée par l'attaquant hébergeant des charges utiles malveillantes.
Début 2026, le groupe a perfectionné sa méthode en distribuant des archives via Google Drive et des instances SharePoint compromises. Ces archives contenaient des exécutables Microsoft MSBuild légitimes ainsi que des fichiers de projet C# malveillants, créant ainsi une voie d'exécution trompeuse mais efficace.
Exploitation de MSBuild et déploiement de charges utiles en plusieurs étapes
L'utilitaire MSBuild joue un rôle crucial dans la chaîne d'infection de TA416. Lors de son exécution, il localise et compile automatiquement les fichiers de projet dans le répertoire de travail. Dans ces attaques, les fichiers CSPROJ malveillants servent de téléchargeurs qui décodent les URL encodées en Base64 et récupèrent des composants malveillants supplémentaires.
Le procédé consiste à télécharger un package de chargement latéral de DLL, à le stocker dans un répertoire temporaire, puis à exécuter un fichier binaire légitime qui charge le logiciel malveillant PlugX. Cette approche en plusieurs étapes renforce la furtivité et complique la détection.
Capacités et persistance de la porte dérobée PlugX
PlugX demeure un élément central des opérations de TA416, déployé de manière systématique dans toutes les campagnes malgré les variations des mécanismes de diffusion. Ce logiciel malveillant établit une communication chiffrée avec l'infrastructure de commande et de contrôle et effectue des contrôles anti-analyse avant son exécution afin d'échapper à la détection.
Ses fonctionnalités permettent un contrôle étendu du système et l'exfiltration de données. Ses principales capacités sont les suivantes :
- Collecte d'informations système détaillées
- Se retirer pour échapper à l'analyse médico-légale
- Modification des intervalles de communication avec les serveurs de commande
- Téléchargement et exécution de charges utiles supplémentaires
- Établissement d'un accès shell inversé pour le contrôle à distance
Évolution continue et ciblage stratégique
Le retour du TA416 sur des cibles européennes après s'être concentré sur l'Asie du Sud-Est et la Mongolie témoigne d'un regain d'intérêt pour le renseignement lié à l'UE et à l'OTAN. Parallèlement, son expansion au Moyen-Orient souligne sa capacité à intervenir dans les conflits internationaux.
La capacité de cet acteur malveillant à perfectionner sans cesse ses techniques, des fausses pages de vérification à l'exploitation d'OAuth en passant par l'exécution via MSBuild, témoigne d'un engagement constant envers l'évasion et l'efficacité opérationnelle. Le perfectionnement continu de son malware PlugX souligne encore davantage son rôle de menace sophistiquée et adaptative en matière de cyberespionnage.
