Китайская хакерская группа TA416 вернулась к активным операциям и с середины 2025 года планомерно атакует правительственные и дипломатические структуры в Европе, а к марту 2026 года переключилась ещё и на Ближний Восток. Proofpoint зафиксировал резкий всплеск активности группы после почти двух лет затишья. Технические приёмы постоянно меняются, конечная цель остаётся прежней — бэкдор PlugX на устройствах жертв.
Относительно спокойный 2023 год сменился резким ростом числа атак. Представительства стран ЕС и структуры НАТО по всей Европе оказались под регулярным давлением. Методы доставки вредоносного кода при этом постоянно ротировались — группа намеренно не давала защитникам выстроить устойчивую картину угрозы.
Согласно отчёту Proofpoint от 1 апреля, цепочка заражения перекраивалась неоднократно. Группа добавила в арсенал страницы проверки через Cloudflare Turnstile, OAuth-перенаправления и файлы проектов на C#. Сам PlugX за это время тоже не стоял на месте — каждая итерация подгонялась под актуальные условия.
Март 2026 года принёс географическое расширение. Вскоре после обострения вокруг Ирана удары пришлись по дипломатическим и государственным организациям на Ближнем Востоке.
Полтора года группа работала сразу на нескольких фронтах. Часть операций строилась на эксплуатации уязвимостей в веб-сервисах, другая часть — на целевых рассылках с вредоносными вложениями. Два параллельных канала существенно расширяли охват потенциальных жертв.
Отдельного внимания заслуживают веб-жучки. Невидимые пиксели, встроенные прямо в тело письма, при открытии сообщения уходят на сервер злоумышленников с IP-адресом получателя, данными браузера и временем прочтения. Простой способ понять, кто из адресатов вообще среагировал на письмо.
Темы для приманок брались из актуальной повестки. Переброска европейских военных в Гренландию, разведывательные задачи, логистика снабжения — достаточно конкретные детали, чтобы письмо выглядело значимым для нужного человека.
В операциях посложнее TA416 рассылала письма и с собственных адресов, и со взломанных ящиков реальных госструктур и дипломатических ведомств. Ссылки вели на архивы в облачных хранилищах — Microsoft Azure, Google Drive, взломанных инстансах SharePoint.
Стартовые этапы заражения каждый раз выглядели по-разному. ZIP-архивы с LNK-ярлыками, загрузчики на базе CSPROJ-файлов — форматы менялись, содержимое нет. Внутри неизменно оказывался один и тот же комплект — подписанный исполняемый файл, вредоносная DLL и зашифрованная полезная нагрузка. В финале всё это разворачивалось в PlugX прямо в памяти устройства.