Resumo Executivo
O grupo TA416 retornou à Europa com uma nova onda de e-mails de espionagem direcionados a funcionários governamentais e diplomáticos. A campanha mistura reconhecimento silencioso com entrega de malware, mostrando como um ator de ameaça paciente pode testar quem abre uma mensagem antes de enviar um acompanhamento mais perigoso.
Descoberta e escopo
De meados de 2025 até o início de 2026, o grupo alinhado à China mirou missões diplomáticas para a UE e OTAN em vários países europeus. Em março de 2026, também ampliou a atividade para entidades governamentais e diplomáticas no Oriente Médio após o conflito no Irã, sugerindo que seu direcionamento muda com grandes eventos geopolíticos. Os e-mails com web bugs vieram de contas freemail e usaram temas como preocupações humanitárias, solicitações de entrevista, propostas de colaboração e um artigo sobre a Groenlândia para atrair leitores diplomáticos.
Vetor e exploração
Cada mensagem usou URLs de rastreamento ou nomes de arquivos de imagem únicos para que o ator pudesse dizer quais alvos abriram ou clicaram no isco. Pesquisadores da Proofpoint notaram que o grupo usou web bugs, links de arquivos maliciosos, contas freemail e caixas de correio diplomáticas ou governamentais comprometidas para atingir vítimas. Eles identificaram mudanças repetidas na cadeia de infecção inicial, mas um objetivo final consistente: carregar um backdoor PlugX personalizado através de DLL sideloading.
A cadeia de infecção mostra como o TA416 manteve a porta de entrada mudando enquanto mantinha o mesmo quarto atrás dela. Entre setembro de 2025 e março de 2026, a Proofpoint viu páginas falsas do Cloudflare Turnstile, abuso de redirecionamentos OAuth do Microsoft Entra ID e arquivos compactados carregando um executável MSBuild renomeado com um arquivo de projeto C# malicioso.
Na onda anterior, páginas falsas do Turnstile imitavam páginas de login da Microsoft e levavam os usuários a arquivos ZIP no Microsoft Azure Blob Storage. Esses arquivos ZIP usaram ZIP smuggling e arquivos LNK para extrair e executar a próxima etapa, terminando com um executável assinado, uma DLL maliciosa e uma carga útil criptografada que carregou o PlugX na memória.
Impacto e alcance
O impacto é sério porque a operação é construída para coleta de inteligência, não para crimes de "bater e correr". Web bugs revelam se um alvo abriu um e-mail, enquanto estágios posteriores podem dar aos atacantes acesso remoto, detalhes do host e uma maneira de baixar mais payloads ou abrir um shell reverso. Campanhas recentes miraram fortemente caixas de correio ligadas a delegações para a UE e OTAN, não apenas endereços governamentais comuns.
As variantes recentes do PlugX também mostraram evasão e persistência mais fortes. A Proofpoint relatou que em amostras de março de 2026, o conjunto de sideloading foi copiado para C:\Users\Public\Canon e uma chave de registro Run chamada Canon foi criada para inicialização, enquanto o carregador usou hash de API, código lixo e achatamento de fluxo de controle para tornar a análise mais difícil.
Medidas de mitigação recomendadas
Organizações expostas a esse tipo de direcionamento devem tratar e-mails com temas diplomáticos, arquivos compactados hospedados na nuvem inesperados e links de login da Microsoft que acionam downloads como de alto risco. Filtros fortes para arquivos LNK, ZIP, RAR e arquivos de projeto, bloqueando execução desnecessária de MSBuild, monitorando alterações no registro Run e caçando tráfego HTTP estilo PlugX são etapas sensatas para reduzir a exposição.
Desabilitar o carregamento automático de imagens externas onde for prático e sandboxear arquivos compactados de links da nuvem também pode cortar o valor das técnicas de reconhecimento de web bugs e entrega de estágio inicial do grupo.
Implicações para Governos e Diplomacia
Para agências governamentais e missões diplomáticas, a persistência do TA416 indica uma ameaça contínua de espionagem. A capacidade do grupo de adaptar suas táticas, mudando entre páginas de login falsas, redirecionamentos OAuth e arquivos hospedados na nuvem, exige monitoramento contínuo de tráfego de rede e análise de e-mail. A proteção de dados sensíveis e a integridade das comunicações diplomáticas são prioritárias.
O que os CISOs devem fazer imediatamente
1. Implementar filtros de e-mail avançados para detectar web bugs e anexos suspeitos. 2. Bloquear execução de MSBuild em estações de trabalho não essenciais. 3. Monitorar chaves de registro Run para entradas não autorizadas. 4. Educar usuários sobre e-mails de temas diplomáticos inesperados. 5. Revisar logs de acesso a arquivos hospedados na nuvem.