С середины 2025 года китайская группировка киберпреступников активизировала атаки на европейские государственные и дипломатические организации. После двухлетнего затишья в регионе угроза вернулась с новой силой.
Кампанию приписывают TA416 — кластеру активности, который также известен под именами DarkPeony, RedDelta, Red Lich, SmugX, UNC6384 и Vertigo Panda. Эта группировка демонстрирует высокий уровень скоординации и использует современные техники для компрометации целевых систем.
Атакующие применяют двуходовой подход: вредоносная утилита PlugX и фишинг на основе OAuth-токенов. Такая комбинация позволяет злоумышленникам получить долгосрочный доступ к инфраструктуре жертв и красть конфиденциальную информацию без необходимости повторного входа.
PlugX — это известный троян удалённого доступа, который часто применяется китайскими группами. Он обеспечивает полный контроль над заражённой машиной: возможность перехвата данных, установки дополнительного ПО и движения по сети организации.
Фишинг-компоненты кампании нацелены на учетные данные пользователей через подделанные страницы авторизации. После ввода креденшалов в фальшивую форму злоумышленники получают OAuth-токены, которые позволяют им обходить двухфакторную аутентификацию и оставаться незамеченными в системах жертв.
Возобновление атак TA416 на Европу указывает на растущий интерес китайских спецслужб к европейским политическим и дипломатическим структурам. Это может быть связано как с извлечением разведданных, так и с подготовкой к информационным операциям.
Специалисты по кибербезопасности рекомендуют европейским учреждениям усилить мониторинг сетевого трафика, обучить сотрудников распознаванию фишинговых писем и внедрить строгие политики управления доступом.