🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um ator de ameaça alinhado à China está de olho nas organizações governamentais e diplomáticas europeias desde meados de 2025, após um período de dois anos de direcionamento mínimo na região.
A campanha foi atribuída ao TA416, um grupo de atividades que se sobrepõe a DarkPeony, RedDelta, Red Lich, SmugX, UNC6384 e Vertigo Panda.
"Essa atividade do TA416 incluiu diversas ondas de campanhas de distribuição de bugs e malware contra missões diplomáticas na União Europeia e na OTAN em vários países europeus", disseram os pesquisadores da Proofpoint, Mark Kelly e Georgi Mladenov.
"Durante esse período, o TA416 alterou regularmente sua cadeia de infecção, incluindo o abuso de páginas de desafio Cloudflare Turnstile, abuso de redirecionamentos OAuth e uso de arquivos de projeto C#, bem como atualização frequente de sua carga útil personalizada do PlugX."
O TA416 também foi observado orquestrando diversas campanhas destinadas a entidades diplomáticas e governamentais no Oriente Médio após a eclosão do conflito EUA-Israel-Irã no final de fevereiro de 2026. O esforço é provavelmente uma tentativa de reunir inteligência regional relativa ao conflito, acrescentou a empresa de segurança empresarial.
Vale a pena mencionar aqui que o TA416 também compartilha sobreposições técnicas históricas com outro cluster conhecido como Mustang Panda (também conhecido como CerenaKeeper, Red Ishtar e UNK_SteadySplit). Os dois grupos de atividades são rastreados coletivamente sob os nomes Earth Preta, Hive0154, HoneyMyte, Stately Taurus, Temp.HEX e Twill Typhoon.
Embora os ataques do TA416 sejam caracterizados pelo uso de variantes PlugX personalizadas, o cluster do Mustang Panda implantou repetidamente ferramentas como TONESHELL, PUBLOAD e COOLCLIENT em ataques recentes. O que é comum a ambos é o uso de carregamento lateral de DLL para iniciar o malware.
O foco renovado do TA416 em entidades europeias é impulsionado por uma combinação de campanhas de entrega de bugs e malware da Web, com os atores da ameaça usando contas de remetentes de e-mail gratuitos para realizar o reconhecimento e implantar o backdoor PlugX por meio de arquivos maliciosos hospedados no Microsoft Azure Blob Storage, no Google Drive, em domínios sob seu controle e em instâncias comprometidas do SharePoint. As campanhas de malware PlugX foram documentadas anteriormente por StrikeReady e Arctic Wolf em outubro de 2025.
"Um web bug (ou pixel de rastreamento) é um pequeno objeto invisível incorporado em um e-mail que aciona uma solicitação HTTP para um servidor remoto quando aberto, revelando o endereço IP do destinatário, o agente do usuário e o horário de acesso, permitindo que o agente da ameaça avalie se o e-mail foi aberto pelo alvo pretendido", disse a Proofpoint.
Descobriu-se que os ataques realizados pelo TA416 em dezembro de 2025 aproveitam aplicativos em nuvem Microsoft Entra ID de terceiros para iniciar redirecionamentos que levam ao download de arquivos maliciosos. Os e-mails de phishing usados como parte dessa onda de ataque contêm um link para o endpoint de autorização OAuth legítimo da Microsoft que, quando clicado, redireciona o usuário para o domínio controlado pelo invasor e, por fim, implanta o PlugX.
O uso dessa técnica não passou despercebido pela Microsoft, que no mês passado alertou sobre campanhas de phishing direcionadas a organizações governamentais e do setor público que empregam mecanismos de redirecionamento de URL OAuth para contornar as defesas convencionais de phishing implementadas em e-mails e navegadores.
Outros refinamentos na cadeia de ataque foram observados em fevereiro de 2026, quando o TA416 começou a vincular-se a arquivos hospedados no Google Drive ou a uma instância comprometida do SharePoint. Os arquivos baixados, neste caso, incluem um executável legítimo do Microsoft MSBuild e um arquivo de projeto C# malicioso.
“Quando o executável do MSBuild é executado, ele procura um arquivo de projeto no diretório atual e o cria automaticamente”, disseram os pesquisadores. "Na atividade TA416 observada, o arquivo CSPROJ atua como um downloader, decodificando três URLs codificados em Base64 para buscar uma tríade de carregamento lateral de DLL de um domínio controlado por TA416, salvando-os no diretório temporário do usuário e executando um executável legítimo para carregar o PlugX por meio da cadeia típica de carregamento lateral de DLL do grupo."
O malware PlugX permanece uma presença consistente durante as invasões do TA416, embora os executáveis legítimos assinados usados para carregamento lateral de DLL tenham variado ao longo do tempo. O backdoor também é conhecido por estabelecer um canal de comunicação criptografado com seu servidor de comando e controle (C2), mas não antes de realizar verificações anti-análise para evitar a detecção.
PlugX aceita cinco comandos diferentes -
0x00000002, para capturar informações do sistema
0x00001005, para desinstalar o malware
0x00001007, para ajustar o intervalo de sinalização e o parâmetro de tempo limite
0x00003004, para baixar uma nova carga (EXE, DLL ou DAT) e executá-la
0x00007002, para abrir um shell de comando reverso
"A mudança do TA416 de volta para a meta do governo europeu em meados de 2025, após dois anos de foco no Sudeste Asiático e na Mongólia, é consistente com uma inteligência renovada
A campanha foi atribuída ao TA416, um grupo de atividades que se sobrepõe a DarkPeony, RedDelta, Red Lich, SmugX, UNC6384 e Vertigo Panda.
"Essa atividade do TA416 incluiu diversas ondas de campanhas de distribuição de bugs e malware contra missões diplomáticas na União Europeia e na OTAN em vários países europeus", disseram os pesquisadores da Proofpoint, Mark Kelly e Georgi Mladenov.
"Durante esse período, o TA416 alterou regularmente sua cadeia de infecção, incluindo o abuso de páginas de desafio Cloudflare Turnstile, abuso de redirecionamentos OAuth e uso de arquivos de projeto C#, bem como atualização frequente de sua carga útil personalizada do PlugX."
O TA416 também foi observado orquestrando diversas campanhas destinadas a entidades diplomáticas e governamentais no Oriente Médio após a eclosão do conflito EUA-Israel-Irã no final de fevereiro de 2026. O esforço é provavelmente uma tentativa de reunir inteligência regional relativa ao conflito, acrescentou a empresa de segurança empresarial.
Vale a pena mencionar aqui que o TA416 também compartilha sobreposições técnicas históricas com outro cluster conhecido como Mustang Panda (também conhecido como CerenaKeeper, Red Ishtar e UNK_SteadySplit). Os dois grupos de atividades são rastreados coletivamente sob os nomes Earth Preta, Hive0154, HoneyMyte, Stately Taurus, Temp.HEX e Twill Typhoon.
Embora os ataques do TA416 sejam caracterizados pelo uso de variantes PlugX personalizadas, o cluster do Mustang Panda implantou repetidamente ferramentas como TONESHELL, PUBLOAD e COOLCLIENT em ataques recentes. O que é comum a ambos é o uso de carregamento lateral de DLL para iniciar o malware.
O foco renovado do TA416 em entidades europeias é impulsionado por uma combinação de campanhas de entrega de bugs e malware da Web, com os atores da ameaça usando contas de remetentes de e-mail gratuitos para realizar o reconhecimento e implantar o backdoor PlugX por meio de arquivos maliciosos hospedados no Microsoft Azure Blob Storage, no Google Drive, em domínios sob seu controle e em instâncias comprometidas do SharePoint. As campanhas de malware PlugX foram documentadas anteriormente por StrikeReady e Arctic Wolf em outubro de 2025.
"Um web bug (ou pixel de rastreamento) é um pequeno objeto invisível incorporado em um e-mail que aciona uma solicitação HTTP para um servidor remoto quando aberto, revelando o endereço IP do destinatário, o agente do usuário e o horário de acesso, permitindo que o agente da ameaça avalie se o e-mail foi aberto pelo alvo pretendido", disse a Proofpoint.
Descobriu-se que os ataques realizados pelo TA416 em dezembro de 2025 aproveitam aplicativos em nuvem Microsoft Entra ID de terceiros para iniciar redirecionamentos que levam ao download de arquivos maliciosos. Os e-mails de phishing usados como parte dessa onda de ataque contêm um link para o endpoint de autorização OAuth legítimo da Microsoft que, quando clicado, redireciona o usuário para o domínio controlado pelo invasor e, por fim, implanta o PlugX.
O uso dessa técnica não passou despercebido pela Microsoft, que no mês passado alertou sobre campanhas de phishing direcionadas a organizações governamentais e do setor público que empregam mecanismos de redirecionamento de URL OAuth para contornar as defesas convencionais de phishing implementadas em e-mails e navegadores.
Outros refinamentos na cadeia de ataque foram observados em fevereiro de 2026, quando o TA416 começou a vincular-se a arquivos hospedados no Google Drive ou a uma instância comprometida do SharePoint. Os arquivos baixados, neste caso, incluem um executável legítimo do Microsoft MSBuild e um arquivo de projeto C# malicioso.
“Quando o executável do MSBuild é executado, ele procura um arquivo de projeto no diretório atual e o cria automaticamente”, disseram os pesquisadores. "Na atividade TA416 observada, o arquivo CSPROJ atua como um downloader, decodificando três URLs codificados em Base64 para buscar uma tríade de carregamento lateral de DLL de um domínio controlado por TA416, salvando-os no diretório temporário do usuário e executando um executável legítimo para carregar o PlugX por meio da cadeia típica de carregamento lateral de DLL do grupo."
O malware PlugX permanece uma presença consistente durante as invasões do TA416, embora os executáveis legítimos assinados usados para carregamento lateral de DLL tenham variado ao longo do tempo. O backdoor também é conhecido por estabelecer um canal de comunicação criptografado com seu servidor de comando e controle (C2), mas não antes de realizar verificações anti-análise para evitar a detecção.
PlugX aceita cinco comandos diferentes -
0x00000002, para capturar informações do sistema
0x00001005, para desinstalar o malware
0x00001007, para ajustar o intervalo de sinalização e o parâmetro de tempo limite
0x00003004, para baixar uma nova carga (EXE, DLL ou DAT) e executá-la
0x00007002, para abrir um shell de comando reverso
"A mudança do TA416 de volta para a meta do governo europeu em meados de 2025, após dois anos de foco no Sudeste Asiático e na Mongólia, é consistente com uma inteligência renovada
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #ta416 #vinculado #à #china #visa #governos #europeus #com #phishing #baseado #em #plugx #e #oauth
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário