Η ομάδα ευθυγραμμισμένη με την Κίνα που παρακολουθείται ως TA416 (γνωστή και ως Mustang Panda) στοχεύει συνεχώς Ευρωπαίους διπλωμάτες από τον Αύγουστο του 2020, με την πιο πρόσφατη δραστηριότητα να περιλαμβάνει ανανεωμένα θέλγητρα που συμπίπτουν με τη ρωσική εισβολή στην Ουκρανία.
Σύμφωνα με μια νέα έκθεση της Proofpoint, το TA416 πρωτοστατεί σε επιχειρήσεις κυβερνοκατασκοπείας κατά της ΕΕ, εστιάζοντας με συνέπεια σε αυτόν τον μακροπρόθεσμο ρόλο χωρίς να αποκομίζει ευκαιριακά κέρδη.
Διατηρώντας τα εργαλεία και τις τακτικές τους ουσιαστικά αμετάβλητες από το 2020 και ανανεώνοντας μόνο τα θέματα ηλεκτρονικού ψαρέματος και τα περιφερειακά στοιχεία, το TA416 έκανε την απόδοση απλή για τους αναλυτές.
Χρονοδιάγραμμα δραστηριότητας
Ξεκινώντας τον Αύγουστο του 2020, οι φορείς ηλεκτρονικού ψαρέματος υποδύονταν οργανώσεις που εδρεύουν στην ΕΕ για να στοχεύσουν κυβερνήσεις στην ήπειρο.
Τα κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου χρησιμοποιούσαν μια διεύθυνση URL DropBox για την παράδοση μιας παραλλαγής του κακόβουλου λογισμικού PlugX, το οποίο είχε αναπτυχθεί προηγουμένως σε επιθέσεις εναντίον αυστραλιανών οργανισμών.
Τον Νοέμβριο του 2021, το TA416 πρόσθεσε κρυφά προγράμματα παρακολούθησης εικόνων στα email για να επικυρώσει τα ανοίγματα των μηνυμάτων και να ακολουθήσει μια πιο στοχευμένη προσέγγιση στην καμπάνια του.
Στις 17 Ιανουαρίου 2022, η Proofpoint παρατήρησε νέες προσπάθειες παράδοσης που αφορούσαν αρχεία ZIP που είχαν προσαρμοσμένη ονομασία για να ταιριάζουν με τα ενδιαφέροντα του στόχου.
Μια αλλαγή στην τακτική σημειώθηκε επίσης σε αυτό το σημείο, καθώς τα αρχεία ZIP δεν ελήφθησαν από μια υπηρεσία φιλοξενίας cloud, αλλά αντ’ αυτού χρησιμοποίησαν ένα εκτελέσιμο κακόβουλο λογισμικό dropper.
Τα τέσσερα στοιχεία που λήφθηκαν με αυτόν τον τρόπο ήταν το κακόβουλο λογισμικό PlugX, ο φορτωτής του, ο αεροπειρατής εντολής αναζήτησης DLL (φόρτωση διαδικασίας) και ένα αρχείο δόλωμα PDF.
Τελικά, στις 28 Φεβρουαρίου 2022, οι κινέζοι παράγοντες απειλών εντοπίστηκαν να χρησιμοποιούν μια παραβιασμένη διεύθυνση διπλωμάτη για να στοχεύσουν άλλους υψηλόβαθμους αξιωματούχους χωρών του ΝΑΤΟ με δέλεαρ που αφορούσαν τη ρωσική εισβολή στην Ουκρανία.
