I ricercatori di Proofpoint hanno rilevato che TA416, attore allineato alla Cina, ha ripreso le attività di spionaggio contro i governi europei e la estende al Medio Oriente. Nel 2022, Proofpoint ha documentato un’intensa attività di TA416 rivolta ai governi europei, aumentata bruscamente quando le truppe russe hanno iniziato a riunirsi al confine con l’Ucraina. L’elevato ritmo operativo delle campagne di TA416 contro target governativi europei è proseguito fino a metà 2023, quando il gruppo ha spostato la propria attenzione fuori dall’Europa. Da metà 2023 a metà 2025, Proofpoint ha rilevato un’attività minima di TA416 in Europa, con il gruppo prevalentemente attivo nel Sud-Est asiatico, a Taiwan e in Mongolia.
Enti governativi e diplomatici nel mirino
A partire da metà 2025, ha ripreso a colpire regolarmente enti governativi e diplomatici europei. Prendendo di mira in particolare individui o caselle di posta associate a missioni diplomatiche e delegazioni presso la NATO e l’UE. Il ritorno di TA416 a questo targeting è avvenuto in un contesto di crescenti tensioni tra Unione Europea e Cina legate al commercio, guerra Russia-Ucraina ed esportazioni di terre rare. Iniziato immediatamente dopo il 25° vertice UE-Cina.
Spionaggio: allerta da Proofpoint all’Europa e non solo
A marzo 2026, a seguito dello scoppio della guerra in Iran, TA416 ha condotto numerose campagne contro una vasta gamma di entità diplomatiche e governative in Medio Oriente. Nel trend osservato, secondo cui alcuni attori allineati a interessi statali stanno spostando il proprio targeting verso entità governative e diplomatiche mediorientali all’indomani della guerra. Questo riflette verosimilmente uno sforzo di raccolta di intelligence regionale sullo stato, la traiettoria e le più ampie implicazioni geopolitiche del conflitto.
Web bug e malware all’attacco
Da metà 2025 a inizio 2026, TA416 ha condotto sia campagne di web bug che di distribuzione di malware. Le prime hanno utilizzato account freemail come mittenti e una serie di esche tematiche per effettuare ricognizione su consegna e coinvolgimento. Un web bug (o tracking pixel) è un piccolo oggetto invisibile incorporato in un’email. All’apertura, attiva una richiesta HTTP verso un server remoto, rivelando indirizzo IP del destinatario, user agent e orario di accesso. Consentendo all’attore di verificare se l’email sia stata aperta dall’obiettivo designato.
Le campagne di cyber spionaggio e distribuzione di malware hanno utilizzato sia account freemail controllati dagli attaccanti sia caselle di posta governative e diplomatiche compromesse. Così da inviare link ad archivi malevoli ospitati su Microsoft Azure Blob Storage, domini controllati dall’attore, Google Drive e istanze SharePoint compromesse. In questo periodo, TA416 ha modificato ripetutamente le proprie catene di infezione iniziale. Mantenendo tuttavia un obiettivo costante: caricare la versione personalizzata della backdoor PlugX tramite triadi di sideloading DLL.
Proofpoint analizza le mosse di TA416
Le tecniche di accesso iniziale si sono evolute. Vanno dalle pagine fake di Cloudflare Turnstile challenge fino ad archivi contenenti un eseguibile Microsoft MSBuild rinominato e file di progetto C# malevoli. In ciascun caso, TA416 ha fatto ricorso allo ZIP smuggling tramite file Microsoft shortcut (LNK) o downloader basati su CSPROJ. Questo per distribuire una triade composta da un eseguibile firmato, una DLL malevola e un payload cifrato che alla fine caricava PlugX in memoria.
Il targeting governativo europeo
l ritorno di TA416 al targeting governativo europeo a metà 2025, dopo due anni di focus su Sud-Est asiatico e Mongolia, è coerente con una rinnovata priorità di raccolta di intelligence contro entità diplomatiche affiliate a UE e NATO. L’espansione al targeting governativo mediorientale a marzo 2026 evidenzia ulteriormente come la prioritizzazione dei compiti del gruppo sia verosimilmente influenzata da punti di crisi geopolitica e da escalation in corso.
Spionaggio – Le azioni future di TA416
Queste operazioni di TA416 suggeriscono che il gruppo continuerà con ogni probabilità a privilegiare il targeting delle reti diplomatiche europee. Mantenendo parallelamente un’attività costante nel Sud-Est asiatico. Le organizzazioni rientranti nel perimetro di questo targeting devono attendersi una continua sperimentazione con vettori di accesso iniziale veicolati tramite campagne di spear phishing, accompagnata da payload PlugX in costante aggiornamento.
