Preiscriviti ora al corso Ethical Hacker! Scopri di più
Cyber Click Day - Richiedi il Voucher Personale per il 16 Aprile Scopri di più
Spionaggio TA416 su UE e NATO: phishing con web bug e OAuth apre la porta a PlugX
Dal 2025 una campagna di cyber spionaggio attribuita al gruppo TA416 ha ripreso a colpire governi europei e organizzazioni diplomatiche, con un focus su missioni legate a Unione Europea e NATO. Dopo un periodo di minore attivita nella regione, gli attaccanti hanno avviato piu ondate di phishing e distribuzione malware, adattando spesso la catena di infezione per aumentare le possibilita di successo e ridurre il rilevamento.
Uno degli elementi chiave osservati e l uso di web bug, noti anche come tracking pixel, inseriti nelle email. Questi oggetti invisibili generano una richiesta HTTP quando il messaggio viene aperto, permettendo di raccogliere dati come indirizzo IP, user agent e orario di accesso. In ambito di sicurezza informatica, questa tecnica consente una fase di ricognizione mirata, utile per capire se la vittima e reale e se vale la pena procedere con lo step successivo.
La fase di consegna del payload include archivi malevoli ospitati su servizi comuni come Microsoft Azure Blob Storage e Google Drive, oltre a domini controllati dagli attaccanti e istanze SharePoint compromesse. Il malware principale e PlugX, una backdoor personalizzata e storicamente associata a operazioni di spionaggio. Un tratto ricorrente nelle intrusioni e l uso del DLL side loading, cioe il caricamento di librerie malevole tramite eseguibili legittimi e firmati, per mascherare l esecuzione del codice dannoso.
Una tecnica particolarmente insidiosa emersa in una delle ondate sfrutta l abuso di OAuth tramite endpoint di autorizzazione legittimi. Le email di phishing includono link che puntano a un endpoint OAuth reale, ma tramite redirect conducono l utente a un dominio controllato dagli attaccanti, dove viene avviato il download dell archivio infetto. Questo approccio aiuta a bypassare alcune difese tradizionali di email security e browser.
Nel 2026 la catena e stata ulteriormente raffinata con l uso di MSBuild e file di progetto C sharp. In questo scenario, l archivio contiene un eseguibile MSBuild legittimo e un file CSPROJ malevolo che agisce da downloader, decodifica URL in Base64, scarica una triade per il DLL side loading e avvia PlugX. La backdoor stabilisce poi comunicazioni cifrate verso server di comando e controllo e include controlli anti analisi per eludere sandbox e strumenti di detection.