Главная страница » Индикаторы компрометации
0
5 часов
Индикаторы компрометации

Китайские хакеры TA416 возобновили атаки на дипломатов ЕС и НАТО, расширив активность на Ближний Восток

APT

Активность китайских хакеров, ориентированных на сбор геополитической разведки, вновь сместилась в сторону Европы после двухлетнего перерыва. Группа TA416, также известная под именами RedDelta и Vertigo Panda, с середины 2025 года возобновила целевые кампании против правительственных и дипломатических организаций в Европе, а в марте 2026 года расширила фокус на Ближний Восток. Это совпало с обострением торговых споров между ЕС и Китаем, а также с началом конфликта в Иране. Аналитики компании Proofpoint, специализирующейся на кибербезопасности, сообщили о новых волнах атак, в которых злоумышленники применяют изощрённые методы доставки вредоносного ПО и постоянно модифицируют свой главный инструмент - бэкдор PlugX.

Описание

Возвращение TA416 к европейским целям произошло на фоне роста напряжённости в отношениях между Евросоюзом и Китаем, связанной с торговлей, войной в Украине и экспортом редкоземельных металлов. Первые атаки начались буквально на следующий день после 25-го саммита ЕС-Китай. Основными мишенями стали сотрудники дипломатических миссий и делегаций при НАТО и Европейском союзе в различных странах региона. Группа действовала волнами, сочетая разведывательные кампании с использованием веб-багов (web bugs) и прямую доставку вредоносного ПО.

Трекинг-пиксель, представляет собой невидимый объект, встроенный в письмо. При открытии письма он инициирует HTTP-запрос к удалённому серверу злоумышленника, раскрывая IP-адрес получателя, данные об используемом браузере и время доступа. Это позволяет атакующему оценить, было ли письмо открыто целевым лицом, и проверить успешность доставки перед отправкой более опасной нагрузки. TA416 использовала тематические приманки, например, статью о направлении европейских войск в Гренландию, рассылая такие письма с бесплатных почтовых ящиков Gmail. Позднее, в марте 2026 года, аналитики зафиксировали резкое расширение географии целей. После вспышки конфликта в Иране TA416 начала таргетировать государственные и дипломатические структуры на Ближнем Востоке, что нехарактерно для её предыдущей активности. Это свидетельствует о гибкости группировки и её способности быстро переориентироваться в соответствии с актуальными геополитическими событиями для сбора разведданных о развитии кризиса.

Наиболее интересной с технической точки зрения является постоянная эволюция цепочки заражения при сохранении конечной цели - внедрения в систему кастомной версии бэкдора PlugX. С сентября 2025 по март 2026 года TA416 несколько раз кардинально меняла начальные этапы атаки, демонстрируя высокий уровень адаптивности. Изначально группа использовала поддельные страницы проверки Cloudflare Turnstile, которые имитировали страницу входа Microsoft. Эти страницы, размещённые на легитимном хранилище Microsoft Azure Blob Storage, перенаправляли жертву на загрузку вредоносного ZIP-архива. В архивах применялась техника "ZIP smuggling": внутри содержался только ярлык (LNK-файл), который при запуске с помощью PowerShell извлекал и исполнял скрытый в структуре архива файл, ведущий к загрузке PlugX.

В декабре 2025 года TA416 переключилась на злоупотребление механизмом OAuth-редиректов в Microsoft Entra ID (ранее Azure AD). Атакующие регистрировали в сервисе стороннее приложение, указывая в качестве URI перенаправления свой контролируемый домен. Ссылка в фишинговом письме вела на легитимный эндпоинт авторизации Microsoft, но с параметрами, которые вызывали ошибку авторизации и автоматическое перенаправление на вредоносный домен, где сразу же начиналась загрузка архива. Этот метод позволял обходить проверки репутации URL в системах безопасности электронной почты, поскольку начальная ссылка всегда указывала на доверенный домен Microsoft. К февралю 2026 года цепочка снова изменилась. В новых кампаниях архивы, размещённые на Google Диске или скомпрометированных экземплярах SharePoint, содержали переименованный легитимный исполняемый файл MSBuild от Microsoft и вредоносный файл проекта на C# (CSPROJ). При запуске MSBuild автоматически обрабатывал проект, который выступал в роли загрузчика, скачивая и запуская триаду для side-loading, что в итоге приводило к выполнению PlugX.

Несмотря на смену начальных векторов, конечный механизм закрепления в системе оставался неизменным на протяжении многих лет. TA416 использует триаду для подмены динамических библиотек (DLL side-loading triad), которая состоит из подписанного легитимного исполняемого файла, вредоносной DLL и зашифрованного файла с полезной нагрузкой. Легитимный файл, уязвимый к подмене библиотек, загружает вредоносную DLL, которая, в свою очередь, расшифровывает и выполняет в памяти финальный бэкдор PlugX. Группа регулярно меняет используемые легитимные файлы, в период с сентября 2025 по март 2026 года было замечено не менее шести разных исполняемых файлов, включая компоненты от Canon и G Data.

Сам бэкдор PlugX также подвергается постоянным доработкам. Обновления касаются как его обфускации и антиотладочных техник, так и сетевого протокола взаимодействия с командным сервером (C&C). Например, в конце 2025 года TA416 модифицировала протокол, отказавшись от отправки специальных HTTP-заголовков, имитирующих метаданные Fetch API, и стала внедрять идентификатор жертвы в заголовок Cookie среди случайных пар ключ-значение. Это явная попытка затруднить детектирование трафика системами сетевой безопасности (IDS/IPS). Конфигурационный файл вредоносной программы, содержащий адреса C&C-серверов и идентификаторы кампании, теперь защищён двухслойным шифрованием: сначала применяется алгоритм RC4, а затем отдельные строки дополнительно ксорятся с изменяющимся ключом.

Инфраструктура группы также эволюционирует. В последние годы TA416 почти полностью перешла на использование перерегистрированных доменов, которые ранее принадлежали легитимным организациям. Этот приём помогает обходить системы защиты, основанные на репутации доменных имён. Для размещения вредоносных нагрузок и командных серверов активно используются услуги CDN, в частности Cloudflare, что скрывает реальные IP-адреса. Предпочтение отдаётся хостинг-провайдерам Evoxt Enterprise, XNNET LLC и Kaopu Cloud HK Limited.

Стоит отметить, что в публичных отчётах группировка TA416 часто смешивается с другим кластером активности, известным как Mustang Panda. Однако, по данным Proofpoint, под этим названием скрываются как минимум две отдельные группы: собственно TA416 и кластер, отслеживаемый под временным обозначением UNK_SteadySplit. Они используют разное вредоносное ПО (PlugX против TONESHELL/PUBLOAD), разные тактики и инфраструктуру, а также несколько различаются в выборе целей. Хотя исторические технические пересечения между ними существуют, в последние годы их операции выглядят независимыми.

Возобновление TA416 активности в Европе и её экспансия на Ближний Восток чётко указывают на приоритеты группы в сборе дипломатической и геополитической разведки. Постоянная ротация векторов начального доступа демонстрирует высокую оперативную гибкость и стремление обходить защитные механизмы. Организациям, входящим в круг интересов группы, - прежде всего дипломатическим миссиям, министерствам иностранных дел и обороны - следует ожидать продолжения фишинговых кампаний высокой точности, постоянного обновления вредоносных нагрузок и экспериментов с новыми методами компрометации. Защита требует комплексного подхода, включающего фильтрацию входящей почты с анализом поведения, мониторинг сетевого трафика на аномалии, а также регулярное обучение сотрудников, работающих с внешней перепиской, основам кибергигиены.

Индикаторы компрометации

Domains

  • aaitile.com
  • adimagemarketing.com
  • alpinemfg.net
  • amblecote.net
  • anbusivam.com
  • atravelingwitch.com
  • attd.z23.web.core.windows.net
  • basecampbox.com
  • bobbush.org
  • buddhismnewsdaily.org
  • buscacnpj.org
  • bushidomma.net
  • busopps.org
  • buywownow.com
  • buzzurro.net
  • carhirechicago.com
  • cnrelojes.com
  • coastallasercompany.com
  • colorflee.org
  • creatday.com
  • cseconline.org
  • cubukluescort.com
  • dalerocks.com
  • decoraat.net
  • designehair.com
  • devlyrics.com
  • devredin.com
  • dnzapping.com
  • doorforum.com
  • ecoafrique.net
  • ecolnomy.com
  • ecomputers.org
  • election_2026.zip
  • embwishes.com
  • espacebus.com
  • famisu.com
  • filesdownld.z13.web.core.windows.net
  • filestoretome.z23.web.core.windows.net
  • florarevival.com
  • foxmediagency.com
  • fruitbrat.com
  • fuyuju.com
  • gesecole.net
  • gestationsdiabetes.com
  • ghonline.net
  • goodmedsx.com
  • gooledives.z48.web.core.windows.net
  • gynecocuk.net
  • harrietmwelch.com
  • hayabusamt.com
  • hnk-capljina.com
  • hoplitellc.com
  • it-evenement.nl
  • loumuenz.com
  • majicbus.org
  • meritsoftwebportals.com
  • mettayoga.org
  • mongolianews.info
  • mydownfile.z11.web.core.windows.net
  • mydownload.z29.web.core.windows.net
  • mydownloadfile.z7.web.core.windows.net
  • napasbdc.org
  • nvofficespace.com
  • ombut.com
  • papermoonweddings.com
  • paquimetro.net
  • phbusiness.net
  • phpthemes.net
  • portabalbufe.com
  • premegalithic.com
  • racineupci.org
  • reloadsite.z13.web.core.windows.net
  • rhonline.net
  • rondabusco.com
  • ronnybush.net
  • shalomrav.org
  • softhunts.com
  • speedifynews.com
  • stuypa.org
  • subusiness.org
  • supplementsoftheyear.com
  • thecamco.net
  • theprmummy.com
  • turileco.net
  • welnetsanda.org
  • winesnmore.net
  • ytsonline.net

URLs

  • https://attd.z23.web.core.windows.net/attd.html
  • https://dash.ghonline.net:443/download/jyebbtg?error=interaction_required&error_description=Session+information+is+not+sufficient+for+single-sign-on.&state=o1
  • https://filesdownld.z13.web.core.windows.net/a9t3zb7l1qx5.html
  • https://filestoretome.z23.web.core.windows.net/filelocate.html
  • https://gooledives.z48.web.core.windows.net/%e0%a6%a8%e0%a6%bf%e0%a6%b0%e0%a7%8d%e0%a6%ac%e0%a6%be%e0%a6%9a%e0%a6%a8_%e0%a7%a8%e0%a7%a6%e0%a7%a8%e0%a7%ac.html
  • https://gooledives.z48.web.core.windows.net/election_2026.html
  • https://login.microsoftonline.com/common/oauth2/v2.0/authorize?client_id=5e6b7cf5-69b7-4f85-87d1-8b4cb6df8aa2&response_type=code&scope=invalid&prompt=none&state=3
  • https://login.microsoftonline.com/common/oauth2/v2.0/authorize?client_id=607bb911-0f5a-4186-9d48-ecff8e094280&response_type=code&scope=invalid&prompt=none&state=2
  • https://login.microsoftonline.com/common/oauth2/v2.0/authorize?client_id=684d7892-c993-41d7-b6c1-07613c43cd61&response_type=code&scope=invalid&prompt=none&state=17
  • https://login.microsoftonline.com/common/oauth2/v2.0/authorize?client_id=8d015a9c-f912-445d-8b3c-4f3b3201ded1&response_type=code&scope=invalid&prompt=none&state=47
  • https://login.microsoftonline.com/common/oauth2/v2.0/authorize?client_id=a9785a2d-445e-4ffa-a770-bec734911841&response_type=code&scope=invalid&prompt=none&state=1
  • https://login.microsoftonline.com/common/oauth2/v2.0/authorize?state=149&x_client_ver=1.0.0&response_type=code&client_id=b004ab26-f57b-439d-ae54-c39b958e5743&nonce=ab93f2c1&prompt=none&scope=invalid&ui_locales=en-us
  • https://login.microsoftonline.com/common/oauth2/v2.0/authorize?state=6&x_client_ver=1.0.0&response_type=code&client_id=3c7bf1a4-927f-40a1-97b0-7a7aa08f4bb2&nonce=ab93f2c1&prompt=none&scope=invalid&ui_locales=en-us
  • https://login.microsoftonline.com/common/oauth2/v2.0/authorize?utm_source=portal&utm_medium=web&client_id=c47683e4-16a3-4b8a-a3d3-c1fe4c86f073&response_type=code&scope=invalid&prompt=none&utm_campaign=login&state=o1&ref=dashboard
  • https://login.windows.net/common/oauth2/v2.0/authorize?client_id=7d980c52-31e5-4554-9e20-b89c4617102f&response_type=code&scope=invalid&prompt=none&state=1
  • https://mydownfile.z11.web.core.windows.net/agenda_meeting_26_sep_brussels.html
  • https://mydownload.z29.web.core.windows.net/epc_invitation_letter_copenhagen_1-2_october_2025.html
  • https://mydownload.z29.web.core.windows.net/naju_plan_obuka_oktobar_2025.html
  • https://mydownload.z29.web.core.windows.net/nv2199_update_on_situation_of_cambodia-thailand_border.html
  • https://mydownload.z29.web.core.windows.net/nv2230_update_of_situation_on_cambodia-thailand_border.html
  • https://mydownloadfile.z7.web.core.windows.net/jatec_workshop_on_wartime_defence_procurement_(9-11_september).html
  • https://web.florarevival.com:443/download/a6d6u9ff13?error=interaction_required&error_description=session+information+is+not+sufficient+for+single-sign-on.&state=6
  • https://www.buscacnpj.org/download/we7823bn?error=interaction_required&error_description=session+information+is+not+sufficient+for+single-sign-on.&state=3
  • https://www.bushidomma.net/download/l7o9afe?error=interaction_required&error_description=session+information+is+not+sufficient+for+single-sign-on.&state=2
  • https://www.foxmediagency.com/download/qqa36sa0d6fq066?error=interaction_required&error_description=Session+information+is+not+sufficient+for+single-sign-on.&state=o1
  • https://www.subusiness.org/download/aetce17ge?error=interaction_required&error_description=session+information+is+not+sufficient+for+single-sign-on.&state=47

Emails

  • emmeline.voss@gmail.com
  • epc.copenhagen2025.dm@gmail.com
  • galinaburl76@gmail.com
  • hsuhalingaye26@gmail.com
  • kayden.beaufort@gmail.com
  • kordula.wehrli@gmail.com
  • office2000005@gmail.com

SHA256

  • 06a70c54c580ec4c362bfbc94147a0f1ac9020c421933ccf494a8d553b114260
  • 0b916d2b4a02d01b42c2b04e281d786a05cc7974d2c4a272b01e8060fa713403
  • 16e258b7b712b747a6037d56ee8d2cc99f8f8139da4a3a59c24af0887531ace0
  • 1df74ce45aa9320c48858eddce3f46f5687fbfdcfd497d92a1e17476e7a2951e
  • 2261c7640fe2f3c2385de61c546b5020ec8a486ad5bad64c31bc9268f6b36a2c
  • 262a1003a2cd04993b29e687686eba573d6202fea8611c437ecbd6312802677a
  • 2712f4ac5ad422bcf749699389cb1a0111a1b11e298efb0cffebc2e2f0becb5f
  • 28a8bdaee803d9cf9186ff4756e15b0fb491fd3b65bde002361615f27e5ca92d
  • 29a70241660ff3234f1c5e8c01878ee01adb4a289262bd37403e1a323129ea86
  • 29cd44aa2a51a200d82cca578d97dc13241bc906ea6a33b132c6ca567dc8f3ad
  • 2c3708a103b257fa75fcb34948c817fd564d4479f1e267b33c5b08f0d4c7634f
  • 3021f4d365a641722748c5e60d983a080db17bef8f0a1dbe624ffe63cd544cc1
  • 30475ff5b32776e554433ff00e7c18590253521024662c267abaefd24f1b9bbe
  • 30c71d644bc72e0d55d46bed753ab3f72dc77b7f1be0e34693c957939a779507
  • 31f3606433e95bfbb047d31c885e56a70111e130f3d2da0580644c01323b46d1
  • 36e516182b4c8aa48ea3e50b7dc353f32d3412f59fb0cb1c7b3590aa4d821c57
  • 3c065947461df428b0d29e401e2a28a0d2560943e96d3ac8b9ed71858fbcec38
  • 3e7478d3854eaeed487230ba9299c87d5a5d70e4fbeac841555327c76b7b405e
  • 42c3b9cad6c8383699eba4f82d51908c0d61e9ea454bc40447cf20475ce20ff0
  • 44cfba85aa27265779b01f6eb8b69718462b1ca8078b21066061e8d1622dff7a
  • 45d8d4f04eb44dc5d10290038825194b0ffc38048a786b4a8b81bb796afc58a3
  • 46314092c8d00ab93cbbdc824b9fc39dec9303169163b9625bae3b1717d70ebc
  • 4d528842c7fe73681dfe569d38a39f8d38ca5548dbc8b6ac02df096713a92efd
  • 50746ddd81a5dbc5cec793209ab552125fff9c7184aa5bcfe22d6c3b267f67f1
  • 56f0247049be8b9dc1da7c55957d2fb4f7177965ba62789c512f3e2b4c0c5c26
  • 5c3208c5217933e16c5119e7baf78f85fd409e8822d1cd7a8ef2d52a5bd511c1
  • 64bae6a215ad9e956d1028603438228003d832bdd5e586ad4988f5c7ad1c54f0
  • 6788365386ccd34d1db681c61ef07ef4d2faea5672571b77a76dc48f327afaa9
  • 69b685fadce4f34bc4964b3d78d43694a428ae1ee4d2fe0ce4ed26fad07847fa
  • 774841a2bfb07b61a8be3de8ae31e9847f987de652eef179761dc3d1b34c42ff
  • 784a914bd1878ad68a6cf3f693da5ddcc2f04b794204333098ad749b7e372fd4
  • 795ad4789a185c3abc35b3ad82117db6b60a7b8ab857e41080873f070d4a06f0
  • 79e0ab17e761a00ad12b9848f1f07b507f57db532fa2df8c722693e14feb17c3
  • 7be77e6166aae9a89b16b64b593f35afc7424926047635f2230a4e364c6a46d8
  • 7c96d08f5ce46d1a857184490a7e68ca2b02e9cbe9d188742f184f21bc9c62d9
  • 7d2b6c48cbd6cef05ea2bdae7dfc001504cccda99dd89eb7fe6646e96c1d5515
  • 843b22df66f87a587be77145da163f9615fe8164a5ea17f9e33562ff43894fbf
  • 84d6a8b47edadf5725d9937d8928a90d190e0c98b5b4d1a4c58e97cddcd36768
  • 87929c8f53341a5e413950d33c7946c64e1d4b2eba6d1a8b2d08ef56f7065052
  • 93e9402af72b355554f9ba93c64871b1bae5be498e3b8a10e61ebdd10ab0d050
  • 965894996e2cb9be1e0ccc509e079e7eca072cbc4e68945beb00ff5979dda19c
  • 9d61c4e21bbbddde5bb780ea0c5238a3538a84b9afe98d62d08845b47fb5caa9
  • 9e67f72bfbc8772ce10633430e1277fd8374e99877ddedb598b4f6717c799eeb
  • a3f9e20315663e4e8feb13e77563e3cb0f2f4844734987e51e14bd172b9a04fd
  • a82c8845587a87010eab52ef8c35d45eaea8eb8102aae77ec96e222197b7db66
  • a95e3857e2f32c2a9c23accadebc1ad6aabf73fed9d63c792d69122d9ec6726d
  • ae8d2cef8eac099f892e37cc50825d329459baa9625b71fb6f4b7e8f33c6ccce
  • b1606ca49aa15eadb039f33d438697973b203693d0003e467e1f33b36d10a530
  • b394e7a3b350b2104b73e29a04e48e5ede5078b9a811abae58d842ce3442c6b3
  • b6d866054dedf7a882dd1fa405a066de1278e35acf639b3a0e850a637d27c4bc
  • bcd30f2116f5ba6731c628483d597b2ba3620ed464c63875855906306beb102a
  • c5267fefaac1764eba5f42681eb216f146b7d18fcbf546275d33e70cb36fdfba
  • c73050860c8aaa0f79c03781519cdcee133832805e2e3e778fef3cb0e917efb1
  • c8a6302adf92353556c600a0afa9146fbc04663fffe8be90808df2bf04ec5703
  • c96338533d0ab4de8201ce1f793e9ea18d30c6179daf1e312e0f01aff8f50415
  • d0576b39bb6c05ea0a24d3a3d5d7cb234454fefc65860f21a97757582adc7650
  • de13e4b4368fbe8030622f747aed107d5f6c5fec6e11c31060821a12ed2d6ccd
  • de8ddc2451fb1305d76ab20661725d11c77625aeeaa1447faf3fbf56706c87f1
  • e036e2ba402d808adbb7982ec8d7a207849ff40456633b2b372bc7916d9dc22f
  • e1e597852d684bd6d0395d5094e58831f13635f668e7cf66ba71b8b66be0ce6c
  • e31eafb49dbcad079ff177703b5a033f3e0365991cf28492339eccfe0fdf812c
  • e79d19d68d307c12413f8549aafa4a56776002dd04601e36e0125b2e6d56ff94
  • e7ed0cd4115f3ff35c38d36cc50c6a13eba2d845554439a36108789cd1e05b17
  • e9d8f28fd0aef3bc3f5b28a41b3f342165b371db9aefd7d03f2aba4292009d3e
  • eb10443a2f0b9a25d01a84426a6a8532b0e7c9157abda55b94c98a1fd2d45562
  • f333bc5238e39790fb7560de067a852e9a99df2bb783cf08738d8a0d424b9658
  • f988d58e4a32b908ff7a557d740c6860c59807832c7626774330dcaed65ead14
Комментарии: 0
Похожие записи
0
07.02.2023
Индикаторы компрометации

Mustang Panda APT IOCs - Part 4

security
Исследователи EclecticIQ продолжают отслеживать китайскую государственную APT-группу под названием Mustang Panda. В декабре 2022 года эта группа начала атаковать Европу с помощью новой спирфишинговой кампании
0
09.12.2022
Индикаторы компрометации

Mustang Panda APT IOCs - Part 3

security
Mustang Panda продолжает атаковать страны Европы и Азиатско-Тихоокеанского региона, используя текущие геополитические события в своих интересах. Цепочка их атак остается последовательной, с постоянным
0
02.11.2022
Индикаторы компрометации

PlugX Malware IOCs - Part 2

malware
Исследователи подразделения Secureworks® Counter Threat Unit™ (CTU) выявили кампанию вредоносного ПО PlugX, направленную на компьютеры государственных служащих ряда стран Европы, Ближнего Востока и Южной Америки.