TA416フィッシング攻撃

2025年半ば以降、中国と連携する脅威アクターが、約2年間の活動縮小を経て、欧州の政府機関や外交機関を標的とした攻撃を再開した。この攻撃は、DarkPeony、RedDelta、Red Lich、SmugX、UNC6384、Vertigo Pandaといった脅威グループとも関連付けられているTA416によるものとされている。

これらの作戦は主に、複数の国にまたがる欧州連合（EU）および北大西洋条約機構（NATO）関連の外交使節団を標的としている。これらの作戦は、ウェブバグの追跡とマルウェアの配信を含む連携した波状攻撃で構成されており、組織的かつ継続的な情報収集活動を示している。

地政学的緊張を背景に活動範囲が拡大

TA416は、2026年2月の米・イスラエル・イラン間の紛争激化を受け、作戦範囲をヨーロッパ以外にも拡大し、中東の政府機関や外交機関に対する作戦を開始した。

この拡大は、機密性の高い地域情報を収集するための戦略的な取り組みを反映しており、同グループの標的選定の優先順位が、変化する地政学的状況と密接に連携していることを示している。

重複する脅威のエコシステムと共有される技術

TA416は、マスタングパンダ（CerenaKeeper、Red Ishtar、UNK_SteadySplitとも呼ばれる）として知られる別の高度な脅威クラスターと、技術的に顕著な重複が見られます。両グループは、Earth Preta、Hive0154、HoneyMyte、Stately Taurus、Temp.HEX、Twill Typhoonといったより広範な分類の下でまとめて追跡されています。

TA416は主にカスタマイズされたPlugXマルウェアの亜種と関連付けられている一方、Mustang PandaはTONESHELL、PUBLOAD、COOLCLIENTといったツールを頻繁に展開する。こうした違いはあるものの、両グループとも主要な実行手法としてDLLサイドローディングに大きく依存しており、共通の運用方法論を示している。

適応型感染連鎖と送達技術

TA416は、感染経路を継続的に進化させることで、高い柔軟性を示しています。これまでの攻撃キャンペーンで確認された手法には、Cloudflare Turnstileの認証ページの悪用、OAuthリダイレクトメカニズムの悪用、悪意のあるC#プロジェクトファイルの利用などが含まれます。

このグループは、フリーメールアカウントから送信されるフィッシングメールを通じてマルウェアを配布しています。これらのメールには、Microsoft Azure Blob Storage、Google Drive、攻撃者が管理するドメイン、または侵害されたSharePoint環境などのプラットフォームにホストされている悪意のあるアーカイブへのリンクが含まれていることがよくあります。

主要な偵察手法の一つに、電子メールに埋め込まれた目に見えない小さな追跡要素であるウェブバグの利用がある。これらが開かれると、HTTPリクエストがトリガーされ、受信者のIPアドレス、ユーザーエージェント、アクセス時間などのメタデータが漏洩する。これにより、攻撃者は受信者の関与を確認し、標的を絞り込むことができる。

OAuthの悪用とクラウドベースのマルウェア配信

2025年後半、TA416攻撃キャンペーンは、正規のMicrosoft OAuth認証エンドポイントを悪用しました。フィッシングリンクをクリックした被害者は、信頼できる認証フローを経由してリダイレクトされた後、悪意のあるペイロードをホストする攻撃者管理下のインフラストラクチャに密かに転送されました。

2026年初頭までに、このグループはGoogleドライブと侵害されたSharePointインスタンスを介してアーカイブを配布することで、その手法をさらに洗練させた。これらのアーカイブには、正規のMicrosoft MSBuild実行ファイルと悪意のあるC#プロジェクトファイルが含まれており、巧妙かつ効果的な実行経路を作り出していた。

MSBuildの悪用とマルチステージペイロードの展開

MSBuildユーティリティは、TA416の感染経路において重要な役割を果たします。実行されると、作業ディレクトリ内のプロジェクトファイルを自動的に検索してコンパイルします。これらの攻撃では、悪意のあるCSPROJファイルがダウンローダーとして機能し、Base64エンコードされたURLをデコードして、追加のペイロードコンポーネントを取得します。

このプロセスでは、DLLサイドローディングパッケージをダウンロードし、一時ディレクトリに保存した後、PlugXマルウェアをロードする正規のバイナリを実行します。この多段階アプローチにより、ステルス性が向上し、検出が困難になります。

PlugXのバックドア機能と永続性

PlugXはTA416の作戦の中核を成すコンポーネントであり、配信メカニズムに多少のばらつきはあるものの、一貫してキャンペーン全体に展開されている。このマルウェアはコマンド＆コントロールインフラストラクチャとの暗号化された通信を確立し、実行前に解析回避チェックを実行することで検出を回避する。

その機能により、広範なシステム制御とデータ漏洩が可能になります。主な機能は以下のとおりです。

• 詳細なシステム情報を収集する
• 法医学的分析を回避するために自らを退散させる
• コマンドサーバーとの通信間隔を変更する
• 追加ペイロードのダウンロードと実行
• リモートコントロール用のリバースシェルアクセスを確立する

継続的な進化と戦略的ターゲティング

TA416が東南アジアとモンゴルへの集中攻撃から欧州への再攻撃へと回帰したことは、EUおよびNATO関連の情報収集活動への新たな重点化を示している。同時に、中東地域への活動拡大は、同グループが世界的な紛争に迅速に対応できる体制を整えていることを裏付けている。

偽の認証ページからOAuthの悪用、MSBuildベースの実行に至るまで、脅威アクターが様々な手法を繰り返し改良していることは、回避と作戦効率の向上に対する揺るぎない取り組みを示している。PlugXマルウェアの継続的な改良は、高度で適応性の高いサイバー諜報活動の脅威としての役割をさらに強調している。