Un APT di matrice cinese ha ripreso le campagne di spionaggio contro governi e diplomatici europei, con catene di infezione in continua evoluzione e la backdoor PlugX.
Autore: Redazione SecurityOpenLab
I governi europei sono di nuovo nel mirino di TA416, gruppo APT di matrice cinese che da luglio 2025 ha ripreso le campagne di spionaggio contro organizzazioni diplomatiche nell'Unione Europea e nella NATO. Lo documentano i ricercatori di Proofpoint ricostruendo oltre nove mesi di attività che hanno coinvolto la raccolta di informazioni di ricognizione via web bug, le campagne di distribuzione di malware con catene di infezione in rapida evoluzione e l'espansione geografica verso il Medio Oriente a marzo 2026, innescata con lo scoppio del conflitto in Iran.
TA416 è noto nella comunità di threat intelligence anche con gli alias RedDelta, Red Lich, Vertigo Panda, SmugX, DarkPeony. È attivo almeno dal 2019 e ha all’attivo una lunga storia di operazioni contro entità diplomatiche europee e asiatiche, tutte con l’obiettivo di raccogliere informazioni sulle dinamiche geopolitiche straniere per conto di Pechino. Un precedente importante di quello che sta accadendo ora risale al 2022, quando le truppe russe si ammassarono al confine ucraino e TA416 accelerò sensibilmente le proprie campagne contro i governi europei. Proseguì fino alla metà del 2023, quando il gruppo spostò l’attenzione verso il Sud-est asiatico.
Una peculiarità di TA416 sono le campagne di ricognizione condotte tramite la tecnica semplice ma efficace del web bug. Un oggetto invisibile (tipicamente un'immagine di piccole dimensioni) viene incorporato in una email e spedito a una potenziale vittima. Quando il destinatario apre il messaggio, il client di posta tenta di scaricare quell'immagine da un server remoto, che rileva in automatico indirizzo IP, user agent e orario di accesso. Questa informazione è sufficiente per determinare da quale rete e con quale dispositivo la vittima ha aperto il messaggio.
Ne sono esempi concreti le oltre 100 email spedite tra la fine di luglio e i primi di agosto 2025 a missioni diplomatiche europee presso l'UE, usando come esche urgenze umanitarie, richieste di interviste e proposte di collaborazione.
In parallelo alla ricognizione, da settembre 2025 TA416 ha avviato campagne di distribuzione di malware contro ministeri della difesa e degli esteri europei. Anche qui il focus specifico erano persone assegnate a missioni NATO. Almeno in due occasioni documentate, TA416 ha utilizzato account email compromessi. In gennaio e febbraio 2026, insieme a un’altra campagna di ricognizione, l’APT ha inasprito le campagne malware, stavolta inviando le email sia da indirizzi Gmail dia da account compromessi. In tutti questi casi era presente un link ad archivi malevoli ospitati su Microsoft Azure Blob Storage, Google Drive, o istanze SharePoint compromesse, che installava una versione personalizzata della backdoor PlugX tramite DLL sideloading.
La parte tecnicamente più rilevante della ricerca di Proofpoint riguarda la continua evoluzione delle catene di infezione. In meno di sei mesi, TA416 ha adottato tre tecniche di accesso iniziale distinte, tutte progettate per eludere i controlli di sicurezza. Da settembre a novembre 2025, il gruppo ha sfruttato pagine fake di Cloudflare Turnstile ospitate su Microsoft Azure Blob Storage, che proponevano una grafica molto somigliante alla pagina di login di Microsoft. Quando il target cliccava il widget di verifica (il classico "non sono un robot"), veniva reindirizzato a un archivio ZIP malevolo. Nelle varianti successive, il token Turnstile era validato lato server prima del redirect per complicare l'analisi automatizzata, e gli archivi ZIP utilizzavano una tecnica di ZIP smuggling per nascondere la componente malevola nella struttura dello ZIP.
A dicembre 2025, TA416 ha introdotto la tecnica di abuso del flusso di autorizzazione OAuth di Microsoft Entra ID. Il gruppo registrava applicazioni di terze parti nell'ecosistema Entra ID con URL di redirect puntanti a domini controllati dall'attaccante. Le email di phishing contenevano un link a un endpoint di autorizzazione OAuth legittimo di Microsoft, costruito con parametri che forzavano un errore di autorizzazione senza alcuna interazione utente visibile. Il risultato era un reindirizzamento silente verso il dominio malevolo dell'attore, con download diretto dell'archivio malevolo. La tecnica è particolarmente insidiosa perché il link nelle email punta a un dominio Microsoft legittimo, così da superare i controlli di reputazione degli URL e apparire credibile all'occhio dell'utente.
A febbraio 2026 è arrivata una terza variante: archivi contenenti un eseguibile MSBuild legittimo di Microsoft, rinominato con un nome plausibile, e un file di progetto C# (con estensione CSPROJ) malevolo. Quando l'utente eseguiva il file MSBuild, il tool cercava automaticamente un file di progetto nella directory corrente e lo compilava, innescando il downloader CSPROJ che decodificava tre URL in Base64 per scaricare i componenti del DLL sideloading triad dal dominio controllato dall'attore. Proofpoint sottolinea che i file CSPROJ analizzati erano molto simili tra loro, con variazioni minime e commenti leggermente alterati prima delle variabili contenenti gli URL codificati, e questo suggerisce un probabile uso di un LLM per generare o modificare il codice.
Al di là delle variazioni nelle catene di infezione, il payload finale è sempre stato una versione personalizzata della backdoor PlugX distribuita tramite DLL sideloading. La tecnica sfrutta il meccanismo di caricamento dinamico delle librerie di Windows: un eseguibile legittimo e firmato viene indotto a caricare una DLL malevola che ha lo stesso nome della DLL originale attesa dall'applicazione. TA416 ha ruotato l'eseguibile legittimo usato per il sideloading ogni uno-due mesi, utilizzando tra settembre 2025 e marzo 2026 sei eseguibili diversi firmati da vendor software come per esempio Canon.
Nelle varianti aggiornate da dicembre 2025, i marker identificativi fissi sono scomparsi per eludere le detection basate su pattern di rete: il token host è nascosto fra cookie casuali e l'indirizzo delle richieste viene generato dinamicamente a ogni sessione, rendendo il traffico molto più difficile da riconoscere. La configurazione del payload, che include i domini C&C, gli identificatori di campagna e il nome del mutex, inizialmente era cifrata con RC4, mentre nelle varianti più recenti di febbraio 2026 è crittografata con una doppia cifratura (RC4 esterno più XOR a rotazione per i singoli campi stringa).
TA416 gestisce la propria infrastruttura usando quasi esclusivamente domini precedentemente legittimi, che vengono ri-registrati dopo la scadenza, così da sfruttare una reputazione mediamente buona nei sistemi di filtraggio basati su euristica. Il traffico di comando e controllo e di distribuzione del malware transita quasi sempre attraverso la CDN di Cloudflare, che oscura gli indirizzi IP di backend. La combinazione di risorse significative, capacità di innovare rapidamente le tecniche di accesso iniziale e sensibilità ai movimenti geopolitici che orienta il targeting con precisione chirurgica rende TA416 uno degli attori di spionaggio allineati alla Cina più attivi e adattativi nel teatro europeo.