Die Hackergruppe TA416 greift europäische Regierungsinstitutionen mit einer Mischung aus Web-Bug-Kampagnen und Malware-Verteilung an. Die Angreifer nutzen dabei kostenlose E-Mail-Konten für die initiale Aufklärung und verbreiten ihre PlugX-Backdoor über manipulierte Archive, die auf Microsoft Azure Blob Storage, Google Drive und kompromittierten SharePoint-Instanzen gehostet werden.
Besonders bemerkenswert ist die Raffinesse der aktuellen Angriffsmethoden. Die Gruppe nutzt sogenannte Web-Bugs – unsichtbare Tracking-Pixel in E-Mails – um zu überprüfen, ob die Nachricht vom Ziel geöffnet wurde. Dabei werden IP-Adressen, Browser-Informationen und Zugriffszeitpunkte an die Angreifer übermittelt. Dies ermöglicht ihnen, ihre Angriffe präzise zu timen und auf echte Ziele auszurichten.
Ein besonders tückisches Merkmal der jüngsten Kampagnen ist der Missbrauch von OAuth-Autorisierungsmechanismen. Im Dezember 2025 leitete die Gruppe Opfer über legitime Microsoft-Authentifizierungsseiten zu Attacker-kontrollierten Domänen um, wo diese PlugX-Archive herunterladen konnten. Diese Technik nutzten die Hacker, um herkömmliche Phishing-Schutzmaßnahmen zu umgehen. Microsoft warnte vor wenigen Wochen explizit vor dieser Angriffsmethode.
Die Infektionsketten wurden kontinuierlich angepasst. In Februar 2026 begannen die Angreifer, Archive über Google Drive oder kompromittierte SharePoint-Instanzen zu verteilen. Diese Archive enthalten einen legitimen Microsoft MSBuild-Executable und eine manipulierte C#-Projektdatei. Wenn MSBuild ausgeführt wird, sucht es nach Projektdateien und führt diese automatisch aus. Die manipulierte CSPROJ-Datei fungiert als Downloader und lädt einen DLL-Sideloading-Triad herunter, der letztendlich die PlugX-Backdoor ausführt.
Die PlugX-Malware bleibt das zentrale Werkzeug von TA416. Die Gruppe hat ihre Custom-Varianten regelmäßig aktualisiert und nutzt DLL-Sideloading mit legitimen, signierten Windows-Executables, um Erkennungssysteme zu umgehen. Die Malware etabliert verschlüsselte Kommunikationskanäle zu Command-and-Control-Servern und führt Anti-Analyse-Checks durch.
Proofpoint-Forscher beobachteten mehrere Wellen von Angriffen mit unterschiedlichen Techniken: Missbrauch gefälschter Cloudflare-Turnstile-Seiten, OAuth-Umleitung und MSBuild-basierte Lieferung. Das Vorgehen zeigt ein systematisches Vorgehen, das auf langfristige Geheimdienstsammlung abzielt.
Die geografische Ausdehnung ist alarmierend: Nach der Rückkehr nach Europa zielten die Angreifer ab März 2026 auch auf Regierungen im Nahen Osten ab – offenbar um Informationen zum Konflikt zwischen USA, Israel und dem Iran zu sammeln. Dies zeigt, dass TA416 ihre Aktivitäten an geopolitische Brennpunkte anpasst.