Grupo ligado à China TA416 mira governos europeus com PlugX e phishing via OAuth
6 de Abril de 2026

Um agente de ameaças alinhado à China passou a mirar organizações governamentais e diplomáticas europeias desde meados de 2025, após um período de dois anos com baixa atividade na região.

A campanha foi atribuída ao TA416, um cluster de atividade que se sobrepõe aos grupos DarkPeony, RedDelta, Red Lich, SmugX, UNC6384 e Vertigo Panda.

“Essa atividade do TA416 incluiu várias ondas de campanhas de distribuição de web bug e malware contra missões diplomáticas junto à União Europeia e à OTAN em diversos países europeus”, afirmaram os pesquisadores da Proofpoint Mark Kelly e Georgi Mladenov.

“Ao longo desse período, o TA416 alterou com frequência sua cadeia de infecção, passando a abusar de páginas de desafio do Cloudflare Turnstile, de redirecionamentos OAuth e de arquivos de projeto em C#, além de atualizar constantemente sua carga útil personalizada do PlugX.”

O TA416 também foi observado conduzindo múltiplas campanhas contra entidades diplomáticas e governamentais no Oriente Médio após o início do conflito entre Estados Unidos, Israel e Irã, no fim de fevereiro de 2026.

Segundo a empresa de segurança, a movimentação provavelmente busca coletar inteligência regional relacionada ao conflito.

Vale destacar que o TA416 também compartilha sobreposições técnicas históricas com outro cluster conhecido como Mustang Panda, também chamado CerenaKeeper, Red Ishtar e UNK_SteadySplit.

Os dois grupos são monitorados em conjunto sob os nomes Earth Preta, Hive0154, HoneyMyte, Stately Taurus, Temp.HEX e Twill Typhoon.

Enquanto os ataques do TA416 são marcados pelo uso de variantes personalizadas do PlugX, o grupo Mustang Panda tem usado repetidamente ferramentas como TONESHELL, PUBLOAD e COOLCLIENT em campanhas recentes.

O ponto em comum entre ambos é o uso de DLL side-loading para iniciar o malware.

O novo foco do TA416 em entidades europeias é sustentado por uma combinação de campanhas de web bug e distribuição de malware.

Os invasores utilizam contas de e-mail freemail para reconhecimento e para implantar o backdoor PlugX por meio de arquivos compactados maliciosos hospedados no Microsoft Azure Blob Storage, no Google Drive, em domínios sob seu controle e em instâncias comprometidas do SharePoint.

Essas campanhas com PlugX já haviam sido documentadas pela StrikeReady e pela Arctic Wolf em outubro de 2025.

“Um web bug, ou tracking pixel, é um objeto minúsculo e invisível incorporado em um e-mail que dispara uma requisição HTTP para um servidor remoto quando a mensagem é aberta, revelando o endereço IP do destinatário, o user agent e o horário de acesso, o que permite ao agente de ameaça avaliar se o e-mail foi aberto pelo alvo pretendido”, explicou a Proofpoint.

Ataques conduzidos pelo TA416 em dezembro de 2025 exploraram aplicativos em nuvem de terceiros do Microsoft Entra ID para iniciar redirecionamentos que levam ao download de arquivos compactados maliciosos.

Os e-mails de phishing usados nessa onda continham um link para o endpoint legítimo de autorização OAuth da Microsoft que, ao ser clicado, redirecionava a vítima para um domínio controlado pelo invasor e, por fim, implantava o PlugX.

O uso dessa técnica não passou despercebido pela Microsoft, que no mês passado alertou sobre campanhas de phishing contra organizações governamentais e do setor público que exploram redirecionamentos de URL OAuth para contornar defesas tradicionais implementadas em e-mail e navegadores.

Novos ajustes na cadeia de ataque foram observados em fevereiro de 2026, quando o TA416 passou a apontar para arquivos hospedados no Google Drive ou em uma instância comprometida do SharePoint.

Nesses casos, os arquivos baixados incluem um executável legítimo do Microsoft MSBuild e um arquivo de projeto C# malicioso.

“Quando o executável MSBuild é executado, ele procura um arquivo de projeto no diretório atual e o compila automaticamente”, disseram os pesquisadores.

“Na atividade observada do TA416, o arquivo CSPROJ atua como downloader, decodificando três URLs em Base64 para buscar uma tríade de DLL side-loading em um domínio controlado pelo TA416, salvando os arquivos no diretório temp do usuário e executando um executável legítimo para carregar o PlugX por meio da cadeia típica de DLL side-loading do grupo.”

O malware PlugX segue como presença constante nas intrusões do TA416, embora os executáveis legítimos, assinados, usados para DLL side-loading tenham variado ao longo do tempo.

O backdoor também é conhecido por estabelecer um canal de comunicação criptografado com o servidor de comando e controle, o C2, mas só depois de executar checagens anti-analysis para evitar detecção.

O PlugX aceita cinco comandos diferentes.

0x00000002, para coletar informações do sistema
0x00001005, para desinstalar o malware
0x00001007, para ajustar o intervalo de beaconing e o parâmetro de timeout
0x00003004, para baixar uma nova payload, em EXE, DLL ou DAT, e executá-la
0x00007002, para abrir um shell reverso de comando

“A mudança do TA416 de volta ao foco em alvos governamentais europeus em meados de 2025, após dois anos concentrado no Sudeste Asiático e na Mongólia, é consistente com uma renovada prioridade de coleta de inteligência contra entidades diplomáticas ligadas à União Europeia e à OTAN”, afirmou a Proofpoint.

“Além disso, a expansão do TA416 para alvos governamentais no Oriente Médio em março de 2026 reforça que a priorização de suas tarefas provavelmente é influenciada por pontos de tensão geopolítica e escaladas.

Ao longo desse período, o grupo demonstrou disposição para iterar suas cadeias de infecção, alternando entre páginas falsas do Cloudflare Turnstile, abuso de redirecionamentos OAuth e entrega baseada em MSBuild, enquanto continuava a atualizar seu backdoor PlugX customizado.”

A divulgação ocorre no momento em que a Darktrace revelou que operações cibernéticas com vínculo à China evoluíram de atividades estrategicamente alinhadas nos anos 2010 para intrusões altamente adaptáveis e centradas em identidade, com o objetivo de manter persistência de longo prazo em redes de infraestrutura crítica.

Com base na análise de campanhas entre julho de 2022 e setembro de 2025, organizações dos Estados Unidos responderam por 22,5% de todos os eventos globais, seguidas por Itália, Espanha, Alemanha, Tailândia, Reino Unido, Panamá, Colômbia, Filipinas e Hong Kong.

A maioria dos casos, 63%, envolveu a exploração de infraestrutura exposta à internet, como CVE-2025-31324 e CVE-2025-0994 , para obter acesso inicial.

“Em um caso notável, o agente havia comprometido totalmente o ambiente e estabelecido persistência, mas ressurgiu no ambiente mais de 600 dias depois”, disse a Darktrace.

“A pausa operacional evidencia tanto a profundidade da intrusão quanto a intenção estratégica de longo prazo do agente.”

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...