Kineska grupa TA416 gađa evropske vlade PlugX malwareom i OAuth phishingom
Grupa TA416, koja se dovodi u vezu sa kineskim sajber špijunskim aktivnostima, od sredine 2025. ponovo cilja evropske vladine i diplomatske organizacije, uključujući misije povezane sa EU i NATO. U kampanjama koristi više tehnika, od web bug praćenja otvaranja poruka do isporuke PlugX backdoora preko lažnih ili kompromitovanih linkova, OAuth redirekcija, Google Drive i SharePoint resursa. Istraživači navode da je grupa tokom vremena menjala lanac infekcije, uključujući Cloudflare Turnstile mamce, MSBuild izvršne fajlove i DLL side-loading.
Posebna težina ovog slučaja je u tome što se ne radi o masovnoj prevari, nego o strpljivom prikupljanju obaveštajnih podataka protiv državnih i diplomatskih meta. Za organizacije koje zavise od Microsoft 365, Entra ID i cloud servisa problem je što napadači koriste legitimne tokove i pouzdane servise da bi zaobišli uobičajene filtere i stigli do korisnika.
- Pojačati proveru linkova koji koriste OAuth redirekcije i Microsoft autorizacione tokove
- Pratiti otvaranje arhiva i pokretanje MSBuild alata na radnim stanicama koje to inače ne koriste
- Ograničiti izvršavanje nepotrebnih signed binara koji mogu da posluže za DLL side-loading
- Pregledati logove za sumnjive pristupe sa kompromitovanih SharePoint i cloud lokacija
- Uraditi dodatnu obuku zaposlenih u diplomatiji, upravi i javnom sektoru o ciljanim phishing porukama