Китайская группа TA416 атакует европейские правительства с помощью PlugX и фишинга на основе OAuth

TA416, угрожающий субъект, связанный с Китаем, нацеливается на европейские правительства с середины 2025 года, используя вредоносное ПО PlugX и фишинговые атаки на основе OAuth, что позволяет вести кибершпионаж против структур ЕС и НАТО.

Атаки, подробно описанные Proofpoint, включают сложные фишинговые кампании, которые злоупотребляют OAuth для получения несанкционированного доступа к облачным сервисам, развертывая вредоносное ПО PlugX для постоянного контроля и эксфильтрации данных.

Операции TA416 сосредоточены на сборе разведданных от правительственных и дипломатических целей, используя скомпрометированные учетные записи для перемещения внутри сетей и кражи конфиденциальной информации.

Использование PlugX, трояна удаленного доступа (RAT) с модульными возможностями, позволяет злоумышленникам выполнять команды, загружать/скачивать файлы и поддерживать скрытый доступ в течение длительных периодов.

Техники фишинга на основе OAuth включают обман пользователей для предоставления разрешений вредоносным приложениям, которые затем получают доступ к законным облачным сервисам, таким как Microsoft 365 или Google Workspace, без необходимости паролей.

Эта кампания подчеркивает развивающуюся тактику государственных групп, сочетающих традиционное вредоносное ПО с облачно-ориентированными атаками для обхода многофакторной аутентификации (MFA) и других мер безопасности.

Отчет Proofpoint подчеркивает необходимость усиленного мониторинга приложений OAuth и предоставления согласия пользователей, а также надежного обнаружения конечных точек для раннего выявления инфекций PlugX.

Нацеливание на европейские правительства соответствует более широким геополитическим напряженностям, где кибершпионаж служит инструментом стратегического сбора разведданных по вопросам внешней политики и безопасности.

Командам безопасности рекомендуется проверять разрешения приложений OAuth, обучать пользователей рискам фишинга и внедрять охоту за угрозами для индикаторов компрометации (IoCs) PlugX, чтобы смягчить такие продвинутые постоянные угрозы (APT).