Desde meados de 2025, **TA416**, um ator de ameaças alinhado à China, tem atacado ativamente organizações governamentais e diplomáticas europeias após um período de dois anos de relativa inatividade na região. Essa atividade se sobrepõe a outros clusters conhecidos, incluindo DarkPeony, RedDelta, Red Lich, SmugX, UNC6384 e Vertigo Panda. **Campanha de Espionagem Europeia** Pesquisadores da **Proofpoint**, Mark Kelly e Georgi Mladenov, relataram que **TA416** lançou múltiplas ondas de campanhas de entrega de web bugs e malware contra missões diplomáticas junto à União Europeia e à OTAN em vários países europeus. O grupo adaptou consistentemente sua cadeia de infecção, utilizando técnicas como o abuso de páginas de desafio do Turnstile da **Cloudflare**, a exploração de redirecionamentos OAuth e o emprego de arquivos de projeto C#. Atualizações frequentes em seu payload **PlugX** customizado também foram observadas. **Alvo no Oriente Médio** Após a escalada do conflito EUA-Israel-Irã no final de fevereiro de 2026, **TA416** também orquestrou campanhas visando entidades diplomáticas e governamentais no Oriente Médio, provavelmente com o objetivo de coletar inteligência regional relacionada ao conflito. **Conexões com Mustang Panda** **TA416** compartilha sobreposições técnicas históricas com o **Mustang Panda** (também conhecido como CerenaKeeper, Red Ishtar e UNK_SteadySplit). Esses dois grupos de atividade são rastreados coletivamente sob vários nomes, incluindo Earth Preta, Hive0154, HoneyMyte, Stately Taurus, Temp.HEX e Twill Typhoon. Enquanto **TA416** utiliza principalmente variantes customizadas de **PlugX**, o **Mustang Panda** foi observado implantando ferramentas como TONESHELL, PUBLOAD e COOLCLIENT em ataques recentes. Uma tática comum usada por ambos os grupos é o carregamento lateral de DLL para executar malware. **Técnicas de Infecção** O foco renovado de **TA416** em entidades europeias envolve uma combinação de campanhas de entrega de web bugs e malware. Os atores de ameaças usam contas de remetentes de freemail para reconhecimento e implantam o backdoor **PlugX** por meio de arquivos compactados maliciosos hospedados no Blob Storage da **Microsoft Azure**, **Google Drive**, domínios controlados pelo atacante e instâncias comprometidas do **SharePoint**. Campanhas anteriores de malware **PlugX** foram documentadas pela **StrikeReady** e **Arctic Wolf** em outubro de 2025. Web bugs, ou pixels de rastreamento, são objetos minúsculos e invisíveis embutidos em e-mails que acionam uma solicitação HTTP para um servidor remoto quando abertos. Isso revela o endereço IP do destinatário, o user agent e o horário de acesso, permitindo que o atacante avalie se o e-mail foi aberto pelo alvo pretendido. Ataques observados em dezembro de 2025 utilizaram aplicativos de nuvem de terceiros da **Microsoft Entra ID** para iniciar redirecionamentos que levam ao download de arquivos compactados maliciosos. E-mails de phishing continham links para o endpoint de autorização OAuth legítimo da **Microsoft**, que, ao serem clicados, redirecionam o usuário para um domínio controlado pelo atacante e, finalmente, implantam o **PlugX**.  **Abuso de Redirecionamento OAuth** A **Microsoft** alertou sobre campanhas de phishing visando organizações governamentais e do setor público que empregam mecanismos de redirecionamento de URL OAuth para contornar defesas convencionais de phishing em e-mails e navegadores. **Exploração do MSBuild** Em fevereiro de 2026, **TA416** começou a vincular arquivos compactados hospedados no **Google Drive** ou em instâncias comprometidas do **SharePoint**. Esses arquivos compactados incluem um executável legítimo do **Microsoft MSBuild** e um arquivo de projeto C# malicioso. Quando o executável **MSBuild** é executado, ele procura no diretório atual por um arquivo de projeto e o compila automaticamente. Na atividade de **TA416**, o arquivo CSPROJ atua como um downloader, decodificando três URLs codificadas em Base64 para buscar uma tríade de carregamento lateral de DLL de um domínio controlado por **TA416**, salvando-as no diretório temporário do usuário e executando um executável legítimo para carregar o **PlugX** via carregamento lateral de DLL. **Análise do PlugX** O malware **PlugX** permanece um elemento consistente nas intrusões de **TA416**. Os executáveis assinados abusados para carregamento lateral de DLL variaram ao longo do tempo. O backdoor estabelece um canal de comunicação criptografado com seu servidor de comando e controle (C2) após realizar verificações anti-análise para evadir a detecção. **Conjunto de Comandos do PlugX** O **PlugX** aceita os seguintes comandos: * **0x00000002**: Capturar informações do sistema * **0x00001005**: Desinstalar o malware * **0x00001007**: Ajustar o intervalo de beaconing e o parâmetro de timeout * **0x00003004**: Baixar um novo payload (EXE, DLL ou DAT) e executá-lo * **0x00007002**: Abrir um shell de comando reverso **Influência Geopolítica** A **Proofpoint** observa que a mudança de **TA416** de volta para o alvo em governos europeus em meados de 2025, após focar no Sudeste Asiático e na Mongólia por dois anos, indica um foco renovado de coleta de inteligência contra entidades diplomáticas afiliadas à UE e à OTAN. A expansão para alvos em governos do Oriente Médio em março de 2026 destaca ainda mais como a priorização de tarefas do grupo é influenciada por pontos de inflamação e escaladas geopolíticas. O grupo demonstrou disposição para iterar em cadeias de infecção, alternando entre páginas falsas do Turnstile da **Cloudflare**, abuso de redirecionamento OAuth e entrega baseada em **MSBuild**, enquanto atualiza continuamente seu backdoor **PlugX** customizado. **Operações Cibernéticas Chinesas em Evolução** A **Darktrace** revelou que as operações cibernéticas de nexo chinês evoluíram de atividades estrategicamente alinhadas na década de 2010 para intrusões altamente adaptáveis e centradas em identidade, visando estabelecer persistência de longo prazo em redes de infraestrutura crítica. Com base em uma revisão de campanhas de ataque entre julho de 2022 e setembro de 2025, organizações baseadas nos EUA representaram 22,5% de todos os eventos globais, seguidas por Itália, Espanha, Alemanha, Tailândia, Reino Unido, Panamá, Colômbia, Filipinas e Hong Kong. A maioria dos casos (63%) envolveu a exploração de infraestrutura exposta à internet (por exemplo, **CVE-2025-31324** e **CVE-2025-0994**) para obter acesso inicial. Em um caso, o ator comprometeu totalmente o ambiente e estabeleceu persistência, apenas para ressurgir mais de 600 dias depois. Essa pausa operacional ressalta a profundidade da intrusão e a intenção estratégica de longo prazo do ator, de acordo com a **Darktrace**.