Die Rückkehr von TA416 nach Europa folgt auf eine etwa zweijährige Phase, in der sich die Gruppe auf Südostasien und die Mongolei konzentrierte. Proofpoint wertet die Verlagerung als erneuten Fokus auf die nachrichtendienstliche Sammlung gegen EU- und NATO-nahe Diplomatie-Einrichtungen. Parallel beobachteten die Forscher Kampagnen gegen diplomatische und staatliche Stellen im Nahen Osten, die mit dem Ausbruch des Konflikts zwischen den USA, Israel und Iran einhergingen – mutmaßlich, um Erkenntnisse zu diesem Konflikt zu gewinnen.
Für die Erkundung nutzt TA416 Freemail-Konten als Absender sowie Web-Bugs. Ein solcher Web-Bug, auch Tracking-Pixel genannt, ist ein winziges, unsichtbares Objekt in einer E-Mail, das beim Öffnen eine HTTP-Anfrage an einen entfernten Server auslöst und so IP-Adresse, Browserkennung und Zugriffszeit des Empfängers preisgibt. Damit lässt sich feststellen, ob die Nachricht beim beabsichtigten Ziel geöffnet wurde.
Im Dezember 2025 setzte TA416 fremde Cloud-Anwendungen in Microsoft Entra ID ein, um Weiterleitungen anzustoßen, die zum Download schädlicher Archive führen. Die Phishing-Mails enthielten einen Link auf den legitimen OAuth-Autorisierungsendpunkt von Microsoft; ein Klick leitete die Nutzer auf eine vom Angreifer kontrollierte Domain um und installierte schließlich PlugX. Microsoft hatte in diesem Monat vor Phishing-Kampagnen gewarnt, die mit OAuth-URL-Weiterleitungen die üblichen Schutzmechanismen in E-Mail-Programmen und Browsern umgehen.
Im Februar 2026 verfeinerte die Gruppe die Angriffskette weiter und verlinkte auf Archive bei Google Drive oder einer kompromittierten SharePoint-Instanz. Die heruntergeladenen Archive enthalten eine legitime Microsoft-MSBuild-Datei und eine schädliche C#-Projektdatei. Wird MSBuild ausgeführt, sucht es im aktuellen Verzeichnis nach einer Projektdatei und baut sie automatisch. Die CSPROJ-Datei dient laut Proofpoint als Downloader, entschlüsselt drei Base64-codierte URLs, lädt von einer TA416-Domain ein Dateipaket für das DLL-Sideloading in das Temp-Verzeichnis und startet eine legitime ausführbare Datei, die PlugX über die gruppentypische Sideloading-Kette lädt.
PlugX ist in den Angriffen eine Konstante, während die zum Sideloading missbrauchten signierten ausführbaren Dateien im Lauf der Zeit wechselten. Die Backdoor baut einen verschlüsselten Kanal zum Command-and-Control-Server auf, führt zuvor aber Prüfungen zur Erkennungsvermeidung durch. TA416 weist zudem historische technische Überschneidungen mit dem Cluster Mustang Panda auf; beide werden gemeinsam unter Bezeichnungen wie Earth Preta, Hive0154, HoneyMyte, Stately Taurus, Temp.HEX und Twill Typhoon geführt. Während TA416 maßgeschneiderte PlugX-Varianten nutzt, setzte Mustang Panda zuletzt Werkzeuge wie TONESHELL, PUBLOAD und COOLCLIENT ein – gemeinsam ist beiden das DLL-Sideloading.
Begleitend berichtet Darktrace, dass sich chinesisch verortete Cyberoperationen von strategisch ausgerichteten Aktivitäten der 2010er-Jahre zu hochgradig anpassungsfähigen, identitätszentrierten Angriffen entwickelt hätten, die auf dauerhafte Präsenz in kritischen Infrastrukturen zielen. Auf Basis einer Auswertung von Kampagnen zwischen Juli 2022 und September 2025 entfielen 22,5 Prozent aller weltweiten Vorfälle auf US-Organisationen, gefolgt von Italien, Spanien, Deutschland, Thailand, dem Vereinigten Königreich, Panama, Kolumbien, den Philippinen und Hongkong. In 63 Prozent der Fälle erfolgte der Erstzugriff über die Ausnutzung von aus dem Internet erreichbarer Infrastruktur, etwa über CVE-2025-31324 und CVE-2025-0994. In einem Fall tauchte der Akteur laut Darktrace mehr als 600 Tage nach der vollständigen Kompromittierung erneut in der Umgebung auf.
