Nel 2022, Proofpoint ha documentato un’intensa attività di TA416 rivolta ai governi europei, aumentata bruscamente quando le truppe russe hanno iniziato a riunirsi al confine con l’Ucraina. Questo elevato ritmo operativo delle campagne di TA416 contro target governativi europei è proseguito fino a metà 2023, quando il gruppo ha spostato la propria attenzione fuori dall’Europa. Da metà 2023 a metà 2025, Proofpoint ha rilevato un’attività minima di TA416 in Europa, con il gruppo prevalentemente attivo nel Sud-Est asiatico, a Taiwan e in Mongolia.
A partire da metà 2025, ha ripreso a colpire regolarmente enti governativi e diplomatici europei, prendendo di mira in particolare individui o caselle di posta associate a missioni diplomatiche e delegazioni presso la NATO e l’UE. Il ritorno di TA416 a questo targeting è avvenuto in un contesto di crescenti tensioni tra Unione Europea e Cina legate al commercio, guerra Russia-Ucraina ed esportazioni di terre rare, ed è iniziato immediatamente dopo il 25° vertice UE-Cina.
A marzo 2026, a seguito dello scoppio della guerra in Iran, TA416 ha condotto numerose campagne contro una vasta gamma di entità diplomatiche e governative in Medio Oriente – una regione non tradizionalmente nel mirino di questo attore. Ciò si inserisce in un trend osservato da Proofpoint, secondo cui alcuni attori allineati a interessi statali stanno spostando il proprio targeting verso entità governative e diplomatiche mediorientali all’indomani della guerra. Questo riflette verosimilmente uno sforzo di raccolta di intelligence regionale sullo stato, la traiettoria e le più ampie implicazioni geopolitiche del conflitto.
Da metà 2025 a inizio 2026, TA416 ha condotto sia campagne di web bug che di distribuzione di malware. Le prime hanno utilizzato account freemail come mittenti e una serie di esche tematiche – come la notizia dell’invio di truppe europee in Groenlandia – per effettuare ricognizione su consegna e coinvolgimento. Un web bug (o tracking pixel) è un piccolo oggetto invisibile incorporato in un’email che, all’apertura, attiva una richiesta HTTP verso un server remoto, rivelando indirizzo IP del destinatario, user agent e orario di accesso, consentendo all’attore di verificare se l’email sia stata aperta dall’obiettivo designato.
Le campagne di distribuzione di malware hanno utilizzato sia account freemail controllati dagli attaccanti sia caselle di posta governative e diplomatiche compromesse per inviare link ad archivi malevoli ospitati su Microsoft Azure Blob Storage, domini controllati dall’attore, Google Drive e istanze SharePoint compromesse.
In questo periodo, TA416 ha modificato ripetutamente le proprie catene di infezione iniziale, mantenendo tuttavia un obiettivo costante: caricare la versione personalizzata della backdoor PlugX tramite triadi di sideloading DLL. Le tecniche di accesso iniziale si sono evolute: dalle pagine fake di Cloudflare Turnstile challenge – usate come gate per accedere ad archivi ZIP – all’abuso di applicazioni di terze parti Microsoft Entra ID che reindirizzavano gli utenti verso domini di distribuzione del malware controllati dall’attore, fino ad archivi contenenti un eseguibile Microsoft MSBuild rinominato e file di progetto C# malevoli. In ciascun caso, TA416 ha fatto ricorso allo ZIP smuggling tramite file Microsoft shortcut (LNK) o downloader basati su CSPROJ per distribuire una triade composta da un eseguibile firmato, una DLL malevola e un payload cifrato che alla fine caricava PlugX in memoria.
“Il ritorno di TA416 al targeting governativo europeo a metà 2025, dopo due anni di focus su Sud-Est asiatico e Mongolia, è coerente con una rinnovata priorità di raccolta di intelligence contro entità diplomatiche affiliate a UE e NATO,” spiegano i ricercatori di Proofpoint. “L’espansione al targeting governativo mediorientale a marzo 2026 evidenzia ulteriormente come la prioritizzazione dei compiti del gruppo sia verosimilmente influenzata da punti di crisi geopolitica e da escalation in corso.”
Queste operazioni di TA416 suggeriscono che il gruppo continuerà con ogni probabilità a privilegiare il targeting delle reti diplomatiche europee e, con il protrarsi del conflitto, delle entità diplomatiche mediorientali, mantenendo parallelamente un’attività costante nel Sud-Est asiatico. Le organizzazioni rientranti nel perimetro di questo targeting devono attendersi una continua sperimentazione con vettori di accesso iniziale veicolati tramite campagne di spear phishing, accompagnata da payload PlugX in costante aggiornamento.
