Um agente de ameaças alinhado à China passou a mirar organizações governamentais e diplomáticas europeias desde meados de 2025, após um período de dois anos com baixa atividade na região.
A campanha foi atribuída ao TA416, um cluster de atividade que se sobrepõe aos grupos DarkPeony, RedDelta, Red Lich, SmugX, UNC6384 e Vertigo Panda.
“Essa atividade do TA416 incluiu várias ondas de campanhas de distribuição de web bug e malware contra missões diplomáticas junto à União Europeia e à OTAN em diversos países europeus”, afirmaram os pesquisadores da Proofpoint Mark Kelly e Georgi Mladenov.
“Ao longo desse período, o TA416 alterou com frequência sua cadeia de infecção, passando a abusar de páginas de desafio do Cloudflare Turnstile, de redirecionamentos OAuth e de arquivos de projeto em C#, além de atualizar constantemente sua carga útil personalizada do PlugX.”
O TA416 também foi observado conduzindo múltiplas campanhas contra entidades diplomáticas e governamentais no Oriente Médio após o início do conflito entre Estados Unidos, Israel e Irã, no fim de fevereiro de 2026.
Segundo a empresa de segurança, a movimentação provavelmente busca coletar inteligência regional relacionada ao conflito.
Vale destacar que o TA416 também compartilha sobreposições técnicas históricas com outro cluster conhecido como Mustang Panda, também chamado CerenaKeeper, Red Ishtar e UNK_SteadySplit.
Os dois grupos são monitorados em conjunto sob os nomes Earth Preta, Hive0154, HoneyMyte, Stately Taurus, Temp.HEX e Twill Typhoon.
Enquanto os ataques do TA416 são marcados pelo uso de variantes personalizadas do PlugX, o grupo Mustang Panda tem usado repetidamente ferramentas como TONESHELL, PUBLOAD e COOLCLIENT em campanhas recentes.
O ponto em comum entre ambos é o uso de DLL side-loading para iniciar o malware.
O novo foco do TA416 em entidades europeias é sustentado por uma combinação de campanhas de web bug e distribuição de malware.
Os invasores utilizam contas de e-mail freemail para reconhecimento e para implantar o backdoor PlugX por meio de arquivos compactados maliciosos hospedados no Microsoft Azure Blob Storage, no Google Drive, em domínios sob seu controle e em instâncias comprometidas do SharePoint.
Essas campanhas com PlugX já haviam sido documentadas pela StrikeReady e pela Arctic Wolf em outubro de 2025.
“Um web bug, ou tracking pixel, é um objeto minúsculo e invisível incorporado em um e-mail que dispara uma requisição HTTP para um servidor remoto quando a mensagem é aberta, revelando o endereço IP do destinatário, o user agent e o horário de acesso, o que permite ao agente de ameaça avaliar se o e-mail foi aberto pelo alvo pretendido”, explicou a Proofpoint.
Ataques conduzidos pelo TA416 em dezembro de 2025 exploraram aplicativos em nuvem de terceiros do Microsoft Entra ID para iniciar redirecionamentos que levam ao download de arquivos compactados maliciosos.
Os e-mails de phishing usados nessa onda continham um link para o endpoint legítimo de autorização OAuth da Microsoft que, ao ser clicado, redirecionava a vítima para um domínio controlado pelo invasor e, por fim, implantava o PlugX.
O uso dessa técnica não passou despercebido pela Microsoft, que no mês passado alertou sobre campanhas de phishing contra organizações governamentais e do setor público que exploram redirecionamentos de URL OAuth para contornar defesas tradicionais implementadas em e-mail e navegadores.
Novos ajustes na cadeia de ataque foram observados em fevereiro de 2026, quando o TA416 passou a apontar para arquivos hospedados no Google Drive ou em uma instância comprometida do SharePoint.
Nesses casos, os arquivos baixados incluem um executável legítimo do Microsoft MSBuild e um arquivo de projeto C# malicioso.
“Quando o executável MSBuild é executado, ele procura um arquivo de projeto no diretório atual e o compila automaticamente”, disseram os pesquisadores.
“Na atividade observada do TA416, o arquivo CSPROJ atua como downloader, decodificando três URLs em Base64 para buscar uma tríade de DLL side-loading em um domínio controlado pelo TA416, salvando os arquivos no diretório temp do usuário e executando um executável legítimo para carregar o PlugX por meio da cadeia típica de DLL side-loading do grupo.”
O malware PlugX segue como presença constante nas intrusões do TA416, embora os executáveis legítimos, assinados, usados para DLL side-loading tenham variado ao longo do tempo.
O backdoor também é conhecido por estabelecer um canal de comunicação criptografado com o servidor de comando e controle, o C2, mas só depois de executar checagens anti-analysis para evitar detecção.
O PlugX aceita cinco comandos diferentes.
0x00000002, para coletar informações do sistema
0x00001005, para desinstalar o malware
0x00001007, para ajustar o intervalo de beaconing e o parâmetro de timeout
0x00003004, para baixar uma nova payload, em EXE, DLL ou DAT, e executá-la
0x00007002, para abrir um shell reverso de comando
“A mudança do TA416 de volta ao foco em alvos governamentais europeus em meados de 2025, após dois anos concentrado no Sudeste Asiático e na Mongólia, é consistente com uma renovada prioridade de coleta de inteligência contra entidades diplomáticas ligadas à União Europeia e à OTAN”, afirmou a Proofpoint.
“Além disso, a expansão do TA416 para alvos governamentais no Oriente Médio em março de 2026 reforça que a priorização de suas tarefas provavelmente é influenciada por pontos de tensão geopolítica e escaladas.
Ao longo desse período, o grupo demonstrou disposição para iterar suas cadeias de infecção, alternando entre páginas falsas do Cloudflare Turnstile, abuso de redirecionamentos OAuth e entrega baseada em MSBuild, enquanto continuava a atualizar seu backdoor PlugX customizado.”
A divulgação ocorre no momento em que a Darktrace revelou que operações cibernéticas com vínculo à China evoluíram de atividades estrategicamente alinhadas nos anos 2010 para intrusões altamente adaptáveis e centradas em identidade, com o objetivo de manter persistência de longo prazo em redes de infraestrutura crítica.
Com base na análise de campanhas entre julho de 2022 e setembro de 2025, organizações dos Estados Unidos responderam por 22,5% de todos os eventos globais, seguidas por Itália, Espanha, Alemanha, Tailândia, Reino Unido, Panamá, Colômbia, Filipinas e Hong Kong.
A maioria dos casos, 63%, envolveu a exploração de infraestrutura exposta à internet, como
CVE-2025-31324
e
CVE-2025-0994
, para obter acesso inicial.
“Em um caso notável, o agente havia comprometido totalmente o ambiente e estabelecido persistência, mas ressurgiu no ambiente mais de 600 dias depois”, disse a Darktrace.
“A pausa operacional evidencia tanto a profundidade da intrusão quanto a intenção estratégica de longo prazo do agente.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...