Группа, связанная с Китаем, отслеживаемая как TA416 (также известная как «Мустанг Панда»), постоянно преследует европейских дипломатов с августа 2020 года, причем последняя активность замечена в конце февраля 2022 года.
Согласно новому отчету Proofpoint, TA416 возглавляет операции кибершпионажа против ЕС, последовательно сосредотачиваясь на этой долгосрочной цели в виде подрыва инфраструктуры госорганов стран ЕС.
Сохранив свои инструменты и тактику практически без изменений с 2020 года и обновив только фишинговые темы и периферийные компоненты, TA416 облегчила жизнь аналитикам, которые пытаются просчитать будущие атаки группы.
Начиная с августа 2020 года фишинговые субъекты выдавали себя за организации из ЕС, чтобы атаковать правительства континента.
Вредоносные электронные письма использовали URL-адрес DropBox для доставки варианта вредоносного ПО PlugX, которое ранее использовалось для атак на австралийские организации.
В ноябре 2021 года TA416 добавила скрытые средства отслеживания изображений в электронные письма, чтобы проверять открытие сообщений и использовать более целенаправленный подход в своей кампании.
17 января 2022 года компания Proofpoint обнаружила новые попытки доставки с использованием ZIP-файлов, имена которых были изменены в соответствии с интересами цели.
На этом этапе также произошло изменение в тактике, поскольку ZIP-файлы не загружались из службы облачного хостинга, а вместо этого использовали исполняемый файл вредоносного ПО-дроппера.
Таким образом были загружены четыре компонента: вредоносное ПО PlugX, его загрузчик, DLL - ещё один вредоносный загрузчик и файл-приманка в формате PDF.
