Китайская группа TA416 атакует правительства Европы с помощью PlugX и фишинга на основе OAuth
05.04.2026
9366
Группа TA416 с середины 2025 года нацелилась на правительства Европы, используя вредоносное ПО PlugX и злоупотребление OAuth для кибершпионажа против структур ЕС и НАТО.
Китайская группа TA416 атакует правительства Европы с помощью PlugX и фишинга на основе OAuth
Подождите — китайская группа угроз только что провела изощренную операцию кибершпионажа против правительств Европы. TA416 нацелилась на структуры ЕС и НАТО с середины 2025 года, используя опасную комбинацию вредоносного ПО PlugX и фишинга на основе OAuth. Это не обычная фишинговая афера — это высокоуровневая инфильтрация, предназначенная для кражи конфиденциальной информации.
Вот как это работает: TA416 отправляет фишинговые письма, которые выглядят легитимно — речь идет о документах официального вида, касающихся политики или обновлений безопасности. Как только вы нажимаете, они злоупотребляют OAuth, чтобы получить доступ к вашим облачным приложениям без необходимости ввода пароля. Хитро, правда? Затем они внедряют PlugX — троянец удаленного доступа, который существует уже давно, но все еще эффективен. Это позволяет им перемещаться по сети, извлекать данные и, по сути, контролировать вашу сеть.
- • Цели: правительственные агентства Европы, институты ЕС, структуры НАТО
- • Временные рамки: активны с середины 2025 года
- • Инструменты: вредоносное ПО PlugX, фишинг на основе OAuth
- • Цель: кибершпионаж — кража классифицированной информации и конфиденциальных данных
Исследовательская группа Proofpoint по угрозам обратила на это внимание — они отслеживали действия TA416. Методы группы отработаны: они используют скомпрометированные учетные записи для отправки писем, что затрудняет обнаружение. Попав внутрь, они используют облачные сервисы, чтобы скрыть свои следы и сохранить устойчивость. Это не быстрый налет; это долгосрочная разведывательная операция.
Группа TA416 с середины 2025 года нацелилась на правительства Европы, используя вредоносное ПО PlugX и злоупотребление OAuth для кибершпионажа против структур ЕС и НАТО.
Почему это важно? Если вы работаете в правительстве, обороне или критической инфраструктуре, это ваш сигнал к действию. Злоупотребление OAuth — растущая угроза — злоумышленники обходят MFA и политики паролей, обманывая пользователей, чтобы те предоставили разрешения приложениям. В сочетании с вредоносным ПО, таким как PlugX, это дает полномасштабную атаку, которая может выкачивать данные месяцами.
- • Советы по защите: регулярно проверяйте разрешения приложений OAuth, обучайте сотрудников распознаванию фишинга, отслеживайте необычную активность в облаке, обновляйте системы
- • Индикаторы: ищите подозрительные вложения в письмах, неожиданные запросы на согласие OAuth, аномальный сетевой трафик с известных серверов управления и контроля PlugX
Суть в следующем: государственный хакерство становится все более изощренным. Кампания TA416 показывает, как злоумышленники сочетают старое вредоносное ПО с современными облачными эксплойтами. Будьте бдительны, защитите настройки OAuth и предполагайте, что вы уже являетесь целью. Киберхолодная война набирает обороты, и Европа находится на прицеле.
#APT группы#вредоносное ПО#кибершпионаж#Китай#фишинг
Есть тема? Пишите ATLA WIRE в Telegram:t.me/atla_community
