Grupo ligado à China usa PlugX e phishing OAuth contra governos europeus

Tipo principal do conteúdo: Cibersegurança

Pesquisadores de cibersegurança identificaram uma intensificação das atividades do grupo TA416, associado a interesses chineses, direcionadas a organizações governamentais e diplomáticas na Europa desde meados de 2025. Após um período de baixa atividade na região, o grupo retornou com campanhas sofisticadas, empregando uma combinação de web bugs e distribuição de malware, especialmente variantes personalizadas do PlugX. Essas campanhas utilizam métodos avançados, como abuso de páginas de desafio Cloudflare Turnstile, redirecionamentos OAuth e arquivos de projeto C#, além de atualizações frequentes nos artefatos maliciosos.

O vetor de ataque inicial frequentemente envolve o envio de e-mails de phishing contendo links para arquivos maliciosos hospedados em serviços legítimos como Microsoft Azure Blob Storage, Google Drive e instâncias SharePoint comprometidas. O grupo também faz uso de web bugs, pequenos objetos invisíveis em e-mails que permitem rastrear a abertura da mensagem e coletar informações técnicas do alvo, como IP e agente de usuário. Em etapas posteriores, o PlugX é instalado por meio de técnicas de DLL side-loading, utilizando executáveis legítimos para mascarar a atividade maliciosa e dificultar a detecção.

O PlugX, peça central dessas operações, é capaz de executar comandos como coleta de informações do sistema, download e execução de novos payloads, ajuste de parâmetros de comunicação e abertura de shells reversos. O malware estabelece comunicação criptografada com servidores de comando e controle, além de implementar mecanismos anti-análise para evitar detecção. O TA416 demonstra alta adaptabilidade, ajustando constantemente sua cadeia de infecção e explorando vulnerabilidades em infraestruturas expostas à internet, como as identificadas nas CVEs 2025-31324 e 2025-0994.

A persistência e a sofisticação das operações do TA416 evidenciam um foco estratégico em espionagem de longo prazo, com capacidade de permanecer em ambientes comprometidos por períodos superiores a 600 dias. O grupo também expandiu suas operações para o Oriente Médio em 2026, utilizando técnicas similares para coleta de inteligência regional. Essas ações reforçam a necessidade de monitoramento contínuo e atualização das defesas cibernéticas em ambientes governamentais e críticos.