Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Erweiterte, anhaltende Bedrohung (APT) TA416 Phishing-Angriff

TA416 Phishing-Angriff

Von Mezo in Erweiterte, anhaltende Bedrohung (APT), Malware, Phishing
Übersetzen Sie in:

Seit Mitte 2025 ist ein mit China verbündeter Bedrohungsakteur wieder aktiv, der sich nach fast zwei Jahren reduzierter Aktivität in der Region verstärkt auf europäische Regierungs- und diplomatische Einrichtungen konzentriert. Diese Kampagne wird TA416 zugeschrieben, einem Bedrohungscluster, der auch mit DarkPeony, RedDelta, Red Lich, SmugX, UNC6384 und Vertigo Panda in Verbindung steht.

Die Operationen richteten sich vorwiegend gegen diplomatische Vertretungen der Europäischen Union und der NATO in verschiedenen Ländern. Diese Kampagnen bestehen aus koordinierten Wellen von Angriffen, die Web-Bug-Tracking und die Verbreitung von Schadsoftware umfassen und auf eine strukturierte und kontinuierliche Informationsbeschaffung hindeuten.

Erweiterung des Tätigkeitsbereichs aufgrund geopolitischer Spannungen

TA416 hat seinen operativen Wirkungsbereich über Europa hinaus ausgedehnt und nach der Eskalation des Konflikts zwischen den USA, Israel und dem Iran im Februar 2026 Kampagnen gegen Regierungs- und diplomatische Organisationen im Nahen Osten gestartet.

Diese Expansion spiegelt die strategischen Bemühungen wider, sensible regionale Informationen zu sammeln, und verdeutlicht, wie eng die Zielprioritäten der Gruppe mit den sich entwickelnden geopolitischen Entwicklungen verknüpft sind.

Überlappende Bedrohungsökosysteme und gemeinsame Techniken

TA416 weist bemerkenswerte technische Überschneidungen mit einem anderen hochentwickelten Bedrohungscluster auf, der gemeinhin als Mustang Panda bekannt ist und auch unter den Namen CerenaKeeper, Red Ishtar und UNK_SteadySplit geführt wird. Beide Gruppen werden gemeinsam unter übergeordneten Klassifizierungen wie Earth Preta, Hive0154, HoneyMyte, Stately Taurus, Temp.HEX und Twill Typhoon erfasst.

Während TA416 hauptsächlich mit angepassten PlugX-Malware-Varianten in Verbindung gebracht wird, setzt Mustang Panda häufig Tools wie TONESHELL, PUBLOAD und COOLCLIENT ein. Trotz dieser Unterschiede nutzen beide Gruppen das seitliche Laden von DLLs als zentrale Ausführungstechnik, was auf gemeinsame Vorgehensweisen hindeutet.

Adaptive Infektionsketten und Verabreichungstechniken

TA416 hat durch die kontinuierliche Weiterentwicklung seiner Infektionsketten eine hohe Flexibilität bewiesen. Zu den in den verschiedenen Kampagnen beobachteten Techniken gehören der Missbrauch von Cloudflare Turnstile-Verifizierungsseiten, die Ausnutzung von OAuth-Weiterleitungsmechanismen und die Verwendung schädlicher C#-Projektdateien.

Die Gruppe verbreitet Schadsoftware über Phishing-E-Mails, die von kostenlosen E-Mail-Konten versendet werden. Diese Nachrichten enthalten häufig Links zu schädlichen Archiven, die auf Plattformen wie Microsoft Azure Blob Storage, Google Drive, von Angreifern kontrollierten Domains oder kompromittierten SharePoint-Umgebungen gehostet werden.

Eine wichtige Aufklärungsmethode ist der Einsatz von Web-Bugs, kleinen, unsichtbaren Tracking-Elementen, die in E-Mails eingebettet sind. Beim Öffnen dieser Bugs werden HTTP-Anfragen ausgelöst, die Metadaten des Empfängers wie IP-Adresse, User-Agent und Zugriffszeitpunkt offenlegen. Dadurch können Angreifer die Interaktion bestätigen und ihre Angriffe präziser ausrichten.

OAuth-Missbrauch und Malware-Verbreitung in der Cloud

Ende 2025 nutzten TA416-Kampagnen legitime Microsoft OAuth-Autorisierungsendpunkte. Opfer, die auf Phishing-Links klickten, wurden über vertrauenswürdige Authentifizierungsprozesse umgeleitet, bevor sie unbemerkt an die von Angreifern kontrollierte Infrastruktur weitergeleitet wurden, die Schadsoftware enthielt.

Anfang 2026 verfeinerte die Gruppe ihre Vorgehensweise weiter, indem sie Archive über Google Drive und kompromittierte SharePoint-Instanzen verbreitete. Diese Archive enthielten legitime Microsoft MSBuild-Programmdateien neben schädlichen C#-Projektdateien und schufen so einen irreführenden, aber dennoch effektiven Ausführungspfad.

Ausnutzung von MSBuild und mehrstufige Payload-Bereitstellung

Das MSBuild-Dienstprogramm spielt eine entscheidende Rolle in der Infektionskette von TA416. Bei der Ausführung findet und kompiliert es automatisch Projektdateien im Arbeitsverzeichnis. Bei diesen Angriffen fungieren schädliche CSPROJ-Dateien als Downloader, die Base64-kodierte URLs dekodieren und zusätzliche Payload-Komponenten abrufen.

Der Vorgang umfasst das Herunterladen eines DLL-Sideloading-Pakets, dessen Speicherung in einem temporären Verzeichnis und die Ausführung einer legitimen Binärdatei, die die PlugX-Malware lädt. Dieses mehrstufige Vorgehen verbessert die Tarnung und erschwert die Erkennung.

PlugX-Hintertürfunktionen und Persistenz

PlugX bleibt ein zentraler Bestandteil der Operationen von TA416 und wird trotz unterschiedlicher Verbreitungsmethoden in allen Kampagnen konsequent eingesetzt. Die Malware stellt eine verschlüsselte Kommunikation mit der Command-and-Control-Infrastruktur her und führt vor der Ausführung Anti-Analyse-Prüfungen durch, um einer Entdeckung zu entgehen.

Seine Funktionalität ermöglicht umfassende Systemkontrolle und Datenexfiltration. Zu den Kernfunktionen gehören:

  • Erfassung detaillierter Systeminformationen
  • Entfernt sich selbst, um einer forensischen Analyse zu entgehen
  • Änderung der Kommunikationsintervalle mit Befehlsservern
  • Herunterladen und Ausführen zusätzlicher Nutzdaten
  • Einrichtung eines Reverse-Shell-Zugriffs für die Fernsteuerung

Kontinuierliche Weiterentwicklung und strategische Ausrichtung

Die Rückkehr der TA416 zu europäischen Zielen nach ihrer Fokussierung auf Südostasien und die Mongolei signalisiert eine erneute Betonung der nachrichtendienstlichen Beschaffung im Zusammenhang mit der EU und der NATO. Gleichzeitig unterstreicht die Ausweitung der Operationen im Nahen Osten die Reaktionsfähigkeit der Gruppe auf globale Konflikte.

Die Bereitschaft des Angreifers, seine Techniken – von gefälschten Verifizierungsseiten über OAuth-Missbrauch bis hin zur Ausführung von MSBuild-Code – kontinuierlich zu verbessern, zeugt von seinem anhaltenden Bestreben, Sicherheitsvorkehrungen zu umgehen und operative Effektivität zu erzielen. Die ständige Weiterentwicklung seiner PlugX-Malware unterstreicht zudem seine Rolle als hochentwickelte und anpassungsfähige Bedrohung für Cyberspionage.

 

Im Trend

Am häufigsten gesehen

Wird geladen...