Depuis mi-2025, **TA416**, un acteur de menace aligné sur la Chine, cible activement les organisations gouvernementales et diplomatiques européennes après une période de deux ans d'inactivité relative dans la région. Cette activité recoupe d'autres groupes connus, notamment DarkPeony, RedDelta, Red Lich, SmugX, UNC6384 et Vertigo Panda. **Campagne d'espionnage européenne** Les chercheurs de **Proofpoint**, Mark Kelly et Georgi Mladenov, ont rapporté que **TA416** a lancé plusieurs vagues de campagnes de diffusion de web bugs et de malware contre des missions diplomatiques auprès de l'Union européenne et de l'OTAN dans divers pays européens. Le groupe a constamment adapté sa chaîne d'infection, utilisant des techniques telles que l'abus des pages de défi Turnstile de **Cloudflare**, l'exploitation des redirections OAuth et l'utilisation de fichiers de projet C#. Des mises à jour fréquentes de sa charge utile **PlugX** personnalisée ont également été observées. **Ciblage du Moyen-Orient** Suite à l'escalade du conflit États-Unis-Israël-Iran fin février 2026, **TA416** a également orchestré des campagnes ciblant des entités diplomatiques et gouvernementales au Moyen-Orient, probablement dans le but de recueillir des renseignements régionaux liés au conflit. **Connexions avec Mustang Panda** **TA416** partage des recoupements techniques historiques avec **Mustang Panda** (alias CerenaKeeper, Red Ishtar et UNK_SteadySplit). Ces deux groupes d'activité sont suivis collectivement sous diverses appellations, notamment Earth Preta, Hive0154, HoneyMyte, Stately Taurus, Temp.HEX et Twill Typhoon. Alors que **TA416** utilise principalement des variantes **PlugX** sur mesure, **Mustang Panda** a été observé déployant des outils tels que TONESHELL, PUBLOAD et COOLCLIENT dans des attaques récentes. Une tactique courante utilisée par les deux groupes est le chargement latéral de DLL pour lancer des malwares. **Techniques d'infection** Le nouveau focus de **TA416** sur les entités européennes implique une combinaison de campagnes de diffusion de web bugs et de malwares. Les acteurs de la menace utilisent des comptes d'expéditeurs de freemail pour la reconnaissance et déploient la backdoor **PlugX** via des archives malveillantes hébergées sur le stockage Blob de **Microsoft Azure**, **Google Drive**, des domaines contrôlés par l'attaquant et des instances **SharePoint** compromises. Des campagnes précédentes de malware **PlugX** ont été documentées par **StrikeReady** et **Arctic Wolf** en octobre 2025. Les web bugs, ou pixels de suivi, sont de minuscules objets invisibles intégrés dans les e-mails qui déclenchent une requête HTTP vers un serveur distant lorsqu'ils sont ouverts. Cela révèle l'adresse IP du destinataire, son agent utilisateur et l'heure d'accès, permettant à l'attaquant d'évaluer si l'e-mail a été ouvert par la cible prévue. Les attaques observées en décembre 2025 ont exploité des applications cloud tierces de **Microsoft Entra ID** pour initier des redirections qui mènent au téléchargement d'archives malveillantes. Les e-mails de phishing contenaient des liens vers le point de terminaison d'autorisation OAuth légitime de **Microsoft**, qui, une fois cliqués, redirigent l'utilisateur vers un domaine contrôlé par l'attaquant et déploient finalement **PlugX**.  **Abus de redirection OAuth** **Microsoft** a mis en garde contre des campagnes de phishing ciblant les organisations gouvernementales et du secteur public qui utilisent des mécanismes de redirection d'URL OAuth pour contourner les défenses anti-phishing conventionnelles dans les e-mails et les navigateurs. **Exploitation de MSBuild** En février 2026, **TA416** a commencé à lier des archives hébergées sur **Google Drive** ou des instances **SharePoint** compromises. Ces archives incluent un exécutable légitime **Microsoft MSBuild** et un fichier de projet C# malveillant. Lorsque l'exécutable **MSBuild** est exécuté, il recherche dans le répertoire courant un fichier de projet et le compile automatiquement. Dans l'activité de **TA416**, le fichier CSPROJ agit comme un téléchargeur, décodant trois URL encodées en Base64 pour récupérer une triade de chargement latéral de DLL à partir d'un domaine contrôlé par **TA416**, les enregistrer dans le répertoire temporaire de l'utilisateur et exécuter un exécutable légitime pour charger **PlugX** via le chargement latéral de DLL. **Analyse de PlugX** Le malware **PlugX** reste un élément constant tout au long des intrusions de **TA416**. Les exécutables signés abusés pour le chargement latéral de DLL ont varié au fil du temps. La backdoor établit un canal de communication chiffré avec son serveur de commande et de contrôle (C2) après avoir effectué des vérifications anti-analyse pour échapper à la détection. **Ensemble de commandes PlugX** **PlugX** accepte les commandes suivantes : * **0x00000002** : Capturer les informations système * **0x00001005** : Désinstaller le malware * **0x00001007** : Ajuster l'intervalle de beaconing et le paramètre de timeout * **0x00003004** : Télécharger une nouvelle charge utile (EXE, DLL ou DAT) et l'exécuter * **0x00007002** : Ouvrir un shell de commande inversé **Influence géopolitique** **Proofpoint** note que le retour de **TA416** vers le ciblage des gouvernements européens mi-2025, après s'être concentré sur l'Asie du Sud-Est et la Mongolie pendant deux ans, indique un regain d'intérêt pour la collecte de renseignements contre les entités diplomatiques affiliées à l'UE et à l'OTAN. L'expansion du ciblage des gouvernements du Moyen-Orient en mars 2026 souligne davantage comment la priorisation des tâches du groupe est influencée par les points chauds géopolitiques et les escalades. Le groupe a démontré sa volonté d'itérer sur les chaînes d'infection, en alternant entre de fausses pages Turnstile de **Cloudflare**, l'abus de redirection OAuth et la diffusion basée sur **MSBuild**, tout en mettant continuellement à jour sa backdoor **PlugX** personnalisée. **Les opérations cybernétiques chinoises évoluent** **Darktrace** a révélé que les opérations cybernétiques d'origine chinoise sont passées d'une activité stratégiquement alignée dans les années 2010 à des intrusions hautement adaptatives et centrées sur l'identité visant à établir une persistance à long terme au sein des réseaux d'infrastructures critiques. Sur la base d'un examen des campagnes d'attaque entre juillet 2022 et septembre 2025, les organisations américaines représentaient 22,5 % de tous les événements mondiaux, suivies par l'Italie, l'Espagne, l'Allemagne, la Thaïlande, le Royaume-Uni, le Panama, la Colombie, les Philippines et Hong Kong. La majorité des cas (63 %) impliquaient l'exploitation d'infrastructures exposées sur Internet (par exemple, **CVE-2025-31324** et **CVE-2025-0994**) pour obtenir un accès initial. Dans un cas, l'acteur avait complètement compromis l'environnement et établi une persistance, pour ne refaire surface que plus de 600 jours plus tard. Cette pause opérationnelle souligne la profondeur de l'intrusion et l'intention stratégique à long terme de l'acteur, selon **Darktrace**.