欧洲政府成为主要目标
与中国的威胁行为者 TA416 已经重新开始了针对欧洲政府的大规模间谍活动。从 2025 年中期开始,在经过两年的沉寂之后,TA416 开始定期瞄准欧盟和北约任务相关的邮箱。
中东外交目标成为新目标
随着伊朗战争重塑了区域安全动态,TA416 在 2026 年三月将其活动扩展到了中东的外交和政府实体,以收集有关冲突走向及地缘政治影响的情报。
网络虫侦察作为第一阶段
TA416 将经典钓鱼与网络虫跟踪相结合,用于对潜在受害者进行画像。该组织发送了大量的电子邮件,这些邮件来自免费邮箱账户、冒充外交官和被入侵的政府收件箱,并嵌入了微小的追踪像素。
恶意软件交付链不断演变
TA416 在 2025 年底至 2026 年初期间,通过多个技术交付链循环使用,但始终只有一个目标:加载其定制的 PlugX 后门。
PlugX 的升级与隐蔽 C2
TA416 的 PlugX 变体继续演变,采用新的混淆和命令控制 (C2) 技巧以逃避检测。最近的样本使用了带有 DLL 侧加载功能的第三方签名可执行文件。