2025年半ば以降、中国と関連付けられている攻撃グループ**TA416**は、欧州の政府および外交機関を活発に標的にしています。これは、同地域での2年間の比較的静かな活動期間を経ての再開となります。この活動は、DarkPeony、RedDelta、Red Lich、SmugX、UNC6384、Vertigo Pandaなどの既知の攻撃グループの活動とも重複しています。 **欧州の諜報活動キャンペーン** **Proofpoint**の研究者であるMark Kelly氏とGeorgi Mladenov氏は、**TA416**が欧州各国に駐在する欧州連合（EU）およびNATOへの外交使節団に対し、複数の波にわたるウェブバグおよびマルウェア配信キャンペーンを展開していると報告しました。同グループは、**Cloudflare**のTurnstileチャレンジページを悪用したり、OAuthリダイレクトを悪用したり、C#プロジェクトファイルを使用したりするなど、感染チェーンを継続的に適応させています。また、カスタム**PlugX**ペイロードの頻繁な更新も確認されています。 **中東の標的** 2026年2月下旬の米国・イスラエル・イラン間の紛争激化を受け、**TA416**は中東地域の外交・政府機関を標的としたキャンペーンも組織しており、紛争に関連する地域インテリジェンスの収集を目的としていると考えられます。 **Mustang Pandaとの関連** **TA416**は、**Mustang Panda**（別名：CerenaKeeper、Red Ishtar、UNK_SteadySplit）と技術的な重複が歴史的に見られます。これら2つの活動グループは、Earth Preta、Hive0154、HoneyMyte、Stately Taurus、Temp.HEX、Twill Typhoonといった様々な名称でまとめて追跡されています。 **TA416**が主にカスタムの**PlugX**亜種を使用する一方、**Mustang Panda**は最近の攻撃でTONESHELL、PUBLOAD、COOLCLIENTなどのツールを展開していることが確認されています。両グループが共通して使用する戦術として、DLLサイドローディングによるマルウェアの起動が挙げられます。 **感染技術** **TA416**による欧州組織への再度の焦点は、ウェブバグとマルウェア配信キャンペーンの組み合わせを含んでいます。攻撃者は、フリーメールの送信アカウントを偵察に使用し、**Microsoft Azure** Blob Storage、**Google Drive**、攻撃者が制御するドメイン、侵害された**SharePoint**インスタンスにホストされた悪意のあるアーカイブを介して**PlugX**バックドアを展開します。過去の**PlugX**マルウェアキャンペーンは、2025年10月に**StrikeReady**と**Arctic Wolf**によって文書化されています。 ウェブバグ、またはトラッキングピクセルは、電子メールに埋め込まれた小さく目に見えないオブジェクトで、開封時にリモートサーバーへのHTTPリクエストをトリガーします。これにより、受信者のIPアドレス、ユーザーエージェント、アクセス時刻が明らかになり、攻撃者は電子メールが意図した標的によって開封されたかどうかを評価できます。 2025年12月に観測された攻撃では、サードパーティの**Microsoft Entra ID**クラウドアプリケーションが悪用され、リダイレクトが開始され、悪意のあるアーカイブのダウンロードにつながりました。フィッシングメールには、**Microsoft**の正規のOAuth承認エンドポイントへのリンクが含まれており、クリックするとユーザーは攻撃者が制御するドメインにリダイレクトされ、最終的に**PlugX**が展開されます。  **OAuthリダイレクトの悪用** **Microsoft**は、政府および公共部門の組織を標的としたフィッシングキャンペーンについて警告しており、これらのキャンペーンはOAuth URLリダイレクトメカニズムを使用して、電子メールやブラウザにおける従来のフィッシング対策を回避しています。 **MSBuildの悪用** 2026年2月、**TA416**は**Google Drive**または侵害された**SharePoint**インスタンスにホストされたアーカイブへのリンクを開始しました。これらのアーカイブには、正規の**Microsoft MSBuild**実行可能ファイルと悪意のあるC#プロジェクトファイルが含まれています。 **MSBuild**実行可能ファイルが実行されると、現在のディレクトリでプロジェクトファイルを検索し、それを自動的にビルドします。**TA416**の活動では、CSPROJファイルがダウンローダーとして機能し、3つのBase64エンコードされたURLをデコードして、**TA416**が制御するドメインからDLLサイドローディングのトライアドを取得し、ユーザーの一時ディレクトリに保存し、正規の実行可能ファイルを実行してDLLサイドローディングを介して**PlugX**をロードします。 **PlugXの分析** **PlugX**マルウェアは、**TA416**の侵入全体を通して一貫した要素であり続けています。DLLサイドローディングに悪用される署名付き実行可能ファイルは、時間とともに変化しています。バックドアは、検出を回避するためのアンチ分析チェックを実行した後、コマンドアンドコントロール（C2）サーバーとの暗号化された通信チャネルを確立します。 **PlugXコマンドセット** **PlugX**は以下のコマンドを受け付けます： * **0x00000002**: システム情報のキャプチャ * **0x00001005**: マルウェアのアンインストール * **0x00001007**: ビーコン間隔とタイムアウトパラメータの調整 * **0x00003004**: 新しいペイロード（EXE、DLL、またはDAT）のダウンロードと実行 * **0x00007002**: リバースコマンドシェルのオープン **地政学的な影響** **Proofpoint**は、**TA416**が2年間東南アジアとモンゴルに焦点を当てていた後、2025年半ばに欧州政府の標的設定に回帰したことは、EUおよびNATO関連の外交組織に対する諜報活動の焦点を新たにすることを意味すると指摘しています。2026年3月の、中東政府への標的拡大は、同グループのタスク優先順位が地政学的なフラッシュポイントやエスカレーションによってどのように影響されるかをさらに浮き彫りにしています。同グループは、偽の**Cloudflare** Turnstileページ、OAuthリダイレクトの悪用、**MSBuild**ベースの配信を循環させながら、感染チェーンを反復し、カスタマイズされた**PlugX**バックドアを継続的に更新する意欲を示しています。 **中国のサイバーオペレーションの進化** **Darktrace**は、中国関連のサイバーオペレーションが、2010年代の戦略的に連携した活動から、重要インフラネットワーク内での長期的な永続化を目指す、高度に適応的でアイデンティティ中心の侵入へと進化していることを明らかにしました。 2022年7月から2025年9月までの攻撃キャンペーンのレビューに基づくと、米国組織は全世界のイベントの22.5%を占め、次いでイタリア、スペイン、ドイツ、タイ、英国、パナマ、コロンビア、フィリピン、香港が続きました。ケースの大部分（63%）は、初期アクセスを得るためにインターネットに公開されたインフラストラクチャ（例：**CVE-2025-31324**および**CVE-2025-0994**）の悪用を含んでいました。 あるケースでは、攻撃者は環境を完全に侵害し永続性を確立しましたが、600日以上後に再浮上しました。この運用上の休止は、侵入の深さと攻撃者の長期的な戦略的意図を強調していると、**Darktrace**は述べています。