Seit Mitte 2025 zielt **TA416**, ein mit China verbundener Bedrohungsakteur, nach einer zweijährigen Phase relativer Inaktivität in der Region wieder aktiv auf europäische Regierungs- und diplomatische Organisationen. Diese Aktivität überschneidet sich mit anderen bekannten Gruppen, darunter DarkPeony, RedDelta, Red Lich, SmugX, UNC6384 und Vertigo Panda. **Europäische Spionagekampagne** Forscher von **Proofpoint**, Mark Kelly und Georgi Mladenov, berichteten, dass **TA416** mehrere Wellen von Web-Bug- und Malware-Lieferkampagnen gegen diplomatische Missionen bei der Europäischen Union und der NATO in verschiedenen europäischen Ländern gestartet hat. Die Gruppe hat ihre Infektionskette konsequent angepasst und Techniken wie den Missbrauch von **Cloudflare** Turnstile-Challenge-Seiten, die Ausnutzung von OAuth-Redirects und die Verwendung von C#-Projektdateien eingesetzt. Häufige Aktualisierungen ihrer benutzerdefinierten **PlugX**-Payload wurden ebenfalls beobachtet. **Ziele im Nahen Osten** Nach der Eskalation des Konflikts zwischen den USA, Israel und dem Iran Ende Februar 2026 hat **TA416** auch Kampagnen gegen diplomatische und staatliche Einrichtungen im Nahen Osten orchestriert, wahrscheinlich um regionale Informationen im Zusammenhang mit dem Konflikt zu sammeln. **Verbindungen zu Mustang Panda** **TA416** teilt historische technische Überschneidungen mit **Mustang Panda** (auch bekannt als CerenaKeeper, Red Ishtar und UNK_SteadySplit). Diese beiden Aktivitätsgruppen werden kollektiv unter verschiedenen Namen verfolgt, darunter Earth Preta, Hive0154, HoneyMyte, Stately Taurus, Temp.HEX und Twill Typhoon. Während **TA416** hauptsächlich maßgeschneiderte **PlugX**-Varianten verwendet, wurde **Mustang Panda** in jüngsten Angriffen beim Einsatz von Tools wie TONESHELL, PUBLOAD und COOLCLIENT beobachtet. Eine gemeinsame Taktik beider Gruppen ist das DLL-Side-Loading zur Ausführung von Malware. **Infektionstechniken** Der erneute Fokus von **TA416** auf europäische Ziele beinhaltet eine Kombination aus Web-Bug- und Malware-Lieferkampagnen. Die Bedrohungsakteure nutzen Freemail-Absenderkonten für die Aufklärung und liefern die **PlugX**-Backdoor über bösartige Archive, die auf **Microsoft Azure** Blob Storage, **Google Drive**, von Angreifern kontrollierten Domains und kompromittierten **SharePoint**-Instanzen gehostet werden. Frühere **PlugX**-Malware-Kampagnen wurden im Oktober 2025 von **StrikeReady** und **Arctic Wolf** dokumentiert. Web Bugs, auch Tracking-Pixel genannt, sind winzige, unsichtbare Objekte, die in E-Mails eingebettet sind und beim Öffnen eine HTTP-Anfrage an einen entfernten Server auslösen. Dies enthüllt die IP-Adresse des Empfängers, den User-Agenten und die Zugriffszeit, was es dem Angreifer ermöglicht, festzustellen, ob die E-Mail vom beabsichtigten Ziel geöffnet wurde. Angriffe, die im Dezember 2025 beobachtet wurden, nutzten externe **Microsoft Entra ID**-Cloud-Anwendungen, um Weiterleitungen zu initiieren, die zum Download bösartiger Archive führten. Phishing-E-Mails enthielten Links zum legitimen OAuth-Autorisierungs-Endpunkt von **Microsoft**, der, wenn er angeklickt wurde, den Benutzer zu einer von Angreifern kontrollierten Domain weiterleitete und schließlich **PlugX** bereitstellte.  **Missbrauch von OAuth-Redirects** **Microsoft** hat vor Phishing-Kampagnen gewarnt, die sich gegen Regierungs- und öffentliche Organisationen richten und OAuth-URL-Umleitungsmechanismen verwenden, um herkömmliche Phishing-Abwehrmaßnahmen in E-Mails und Browsern zu umgehen. **Ausnutzung von MSBuild** Im Februar 2026 begann **TA416**, auf Archive zuzugreifen, die auf **Google Drive** oder kompromittierten **SharePoint**-Instanzen gehostet wurden. Diese Archive enthalten eine legitime **Microsoft MSBuild**-Ausführungsdatei und eine bösartige C#-Projektdatei. Wenn die **MSBuild**-Ausführungsdatei ausgeführt wird, sucht sie im aktuellen Verzeichnis nach einer Projektdatei und kompiliert diese automatisch. Bei der Aktivität von **TA416** fungiert die CSPROJ-Datei als Downloader, dekodiert drei Base64-kodierte URLs, um ein DLL-Side-Loading-Trio von einer von **TA416** kontrollierten Domain abzurufen, speichert diese im temporären Verzeichnis des Benutzers und führt eine legitime ausführbare Datei aus, um **PlugX** über DLL-Side-Loading zu laden. **PlugX-Analyse** Die **PlugX**-Malware bleibt ein konstanter Bestandteil der **TA416**-Intrusionen. Die für das DLL-Side-Loading missbrauchten signierten ausführbaren Dateien haben im Laufe der Zeit variiert. Die Backdoor baut nach Durchführung von Anti-Analyse-Prüfungen zur Umgehung der Erkennung einen verschlüsselten Kommunikationskanal mit ihrem Command-and-Control (C2)-Server auf. **PlugX-Befehlssatz** **PlugX** akzeptiert die folgenden Befehle: * **0x00000002**: Systeminformationen erfassen * **0x00001005**: Malware deinstallieren * **0x00001007**: Beaconing-Intervall und Timeout-Parameter anpassen * **0x00003004**: Eine neue Payload (EXE, DLL oder DAT) herunterladen und ausführen * **0x00007002**: Eine Reverse-Befehlsshell öffnen **Geopolitischer Einfluss** **Proofpoint** stellt fest, dass die Rückkehr von **TA416** zur Zielsetzung europäischer Regierungen Mitte 2025, nachdem sie sich zwei Jahre lang auf Südostasien und die Mongolei konzentriert hatten, auf einen erneuten Fokus auf die Sammlung von Informationen gegen EU- und NATO-verbundene diplomatische Einrichtungen hindeutet. Die Ausweitung auf die Zielsetzung nahöstlicher Regierungen im März 2026 unterstreicht weiter, wie die Priorisierung der Aufgaben der Gruppe von geopolitischen Brennpunkten und Eskalationen beeinflusst wird. Die Gruppe hat ihre Bereitschaft gezeigt, Infektionsketten zu iterieren, gefälschte **Cloudflare** Turnstile-Seiten, den Missbrauch von OAuth-Redirects und **MSBuild**-basierte Bereitstellungen zu durchlaufen und gleichzeitig ihre angepasste **PlugX**-Backdoor kontinuierlich zu aktualisieren. **Chinesische Cyberoperationen entwickeln sich weiter** **Darktrace** enthüllte, dass sich chinesisch-vernetzte Cyberoperationen von strategisch ausgerichteten Aktivitäten in den 2010er Jahren zu hochgradig adaptiven, identitätszentrierten Intrusionen entwickelt haben, die darauf abzielen, eine langfristige Persistenz in kritischen Infrastrukturnetzwerken zu etablieren. Basierend auf einer Überprüfung von Angriffskampagnen zwischen Juli 2022 und September 2025 machten US-amerikanische Organisationen 22,5 % aller globalen Vorfälle aus, gefolgt von Italien, Spanien, Deutschland, Thailand, dem Vereinigten Königreich, Panama, Kolumbien, den Philippinen und Hongkong. Eine Mehrheit der Fälle (63 %) beinhaltete die Ausnutzung von internetseitiger Infrastruktur (z. B. **CVE-2025-31324** und **CVE-2025-0994**), um den anfänglichen Zugriff zu erlangen. In einem Fall hatte der Akteur die Umgebung vollständig kompromittiert und Persistenz etabliert, nur um mehr als 600 Tage später wieder aufzutauchen. Diese operative Pause unterstreicht die Tiefe der Intrusion und die langfristige strategische Absicht des Akteurs, so **Darktrace**.