In 2022
rapporteerde
Proofpoint over intensieve activiteiten van TA416 gericht op Europese
overheden, die sterk toenamen toen Russische troepen zich begonnen te
verzamelen aan de grens met Oekraïne. Dit hoge tempo van
TA416-campagnes tegen Europese overheidsdoelen hield aan tot halverwege
2023, toen de groep haar aandacht van Europa afwendde. Van medio 2023
tot medio 2025 constateerde Proofpoint minimale TA416-activiteit binnen
Europa. De groep was in deze periode
voornamelijk
actief in Zuidoost-Azië, Taiwan en Mongolië.
Sinds midden 2025 richt
TA416 zich weer regelmatig op Europese overheids- en diplomatieke
instanties. Deze hernieuwde focus is vooral gericht op personen of
e-mailaccounts die banden hebben met diplomatieke missies en delegaties
bij de NAVO en de EU. De terugkeer van TA416 naar aanvallen op Europese
overheden vindt plaats tegen de achtergrond van verhoogde spanningen
tussen de
EU
en China over handel, de oorlog tussen Rusland en Oekraïne en de export
van zeldzame aardmetalen. Deze aanvallen begonnen onmiddellijk na
de
25e
topontmoeting tussen de EU en China.
In maart 2026, na het
uitbreken van de oorlog met Iran, voerde TA416 meerdere campagnes uit.
Deze campagnes waren gericht op een breed scala aan diplomatieke en
overheidsinstanties in het Midden-Oosten, een regio die traditioneel
niet regelmatig door deze dreigingsactor wordt aangevallen. Dit sluit
aan bij een door Proofpoint waargenomen
trend,
namelijk dat sommige door de staat gesponsorde dreigingsactoren in de
nasleep van de oorlog hun targeting hebben verschoven naar
overheids- en diplomatieke instanties in het Midden-Oosten. Dit
weerspiegelt waarschijnlijk een poging om regionale inlichtingen te
verzamelen over de status, het verloop en de bredere geopolitieke
implicaties van het conflict.
Dit zijn de
belangrijkste bevindingen:
- Vanaf medio 2025 richt
de China-gelieerde dreigingsactor TA416 zich weer op het aanvallen
van Europese overheids- en diplomatieke organisaties, na een
periode waarin de EU minder in beeld was in de telemetriegegevens
van Proofpoint.
- Deze TA416-operatie
omvatte meerdere golven van campagnes waarbij web-bugs en malware
werden verspreid tegen diplomatieke vertegenwoordigingen bij de
Europese Unie en de NAVO in diverse Europese landen.
- In maart 2026
constateerde Proofpoint bovendien dat TA416 zijn
aanvallen in de weken na het uitbreken van het conflict in Iran
had uitgebreid naar diplomatieke en overheidsinstanties in het
Midden-Oosten.
- Gedurende deze periode
paste TA416 zijn infectieketen regelmatig aan, onder meer door
misbruik te maken
van Cloudflare Turnstile-challengepagina’s en OAuth-omleidingen,
door gebruik te maken van C#-projectbestanden en door de aangepaste PlugX-payload regelmatig
bij te werken.
- TA416 komt het meest
overeen met openbare meldingen over RedDelta, Red Lich,
Vertigo Panda, SmugX en DarkPeony.
De terugkeer van TA416
naar Europese overheidsdoelen medio 2025, na twee jaar waarin de focus
op Zuidoost-Azië en Mongolië lag, sluit aan bij een hernieuwde nadruk
op het verzamelen van inlichtingen over diplomatieke instanties die
banden hebben met de EU en de NAVO. Bovendien onderstreept de
uitbreiding van TA416 naar overheidsdoelen in het Midden-Oosten in
maart 2026 eens te meer hoe de prioritering van de taken van de groep
waarschijnlijk wordt beïnvloed door geopolitieke brandhaarden en
escalaties. Gedurende deze periode heeft de groep blijk gegeven van de
bereidheid om infectieketens te herhalen. Hierbij maakten ze waarbij
afwisselend gebruik van valse Cloudflare Turnstile-pagina's, misbruik
van OAuth-omleidingen en MSBuild-gebaseerde levering, terwijl ze hun
aangepaste PlugX-backdoor bleven updaten.
Deze TA416-operaties
wijzen erop dat de groep waarschijnlijk prioriteit zal blijven geven
aan zowel aanvallen op Europese diplomatieke netwerken als, naarmate
het conflict voortduurt, diplomatieke instanties in het Midden-Oosten.
Ook zetten zij haar activiteiten in Zuidoost-Azië
voort. Organisaties die het doelwit van deze aanvallen zijn,
moeten rekening houden met voortdurende experimenten met initiële
toegangsvectoren die via spearphishing-campagnes worden verspreid,
in combinatie met voortdurend bijgewerkte PlugX-payloads.
Klik
hier om
het volledige threat research te lezen.