Desde meados de 2025 observa-se um retorno de uma campanha sustentada contra missões diplomáticas e organismos governamentais europeus atribuída a um ator alinhado com a China conhecido como TA416. Após uma actividade relativamente baixa na região, este conjunto de operações reabertou o objectivo de instituições ligadas à União Europeia e à NATO, e nos meses seguintes ampliou a sua atenção aos governos do Médio Oriente no âmbito da escalada entre os Estados Unidos, Israel e o Irão no final de Fevereiro de 2026.
A assinatura operacional do TA416 combina técnicas aparentemente simples com cadeias de infecção que variam frequentemente. Os pesquisadores documentaram o uso simultâneo de objetos de rastreamento incorporados em e-mails (web bugs) para verificar a abertura de mensagens, contas de e-mail gratuitas para trabalhos de reconhecimento inicial e o alojamento de arquivos maliciosos em serviços legítimos na nuvem como Azure Blob Storage, Google Drive ou instâncias do SharePoint comprometidas. Estes recursos facilitam a entrega de arquivos em arquivos comprimidos que, ao abrirem, desencadeiam a carga da porta traseira PlugX nos sistemas alvo.
Um aspecto marcante do comportamento do grupo é a constante experimentação com a cadeia de infecção. Em diferentes momentos, o TA416 tem abusado de páginas falsas que simulam o serviço de proteção Cloudflare Turnstile, utilizou redireções através do fluxo OAuth legítimo da Microsoft para sortear controles de segurança e, em fases posteriores, recorreu à execução de MSBuild junto a arquivos de projeto C# (CSPROJ) que atuam como downloaddores. Quando o MSBuild é executado, este busca automaticamente um arquivo de projeto no diretório atual e o compila; nos incidentes observados o CSPROJ decifram URL codificadas em Base64 e recuperam um trio de arquivos DLL desde domínios controlados pelo atacante, que depois são carregados pela técnica conhecida como DLL side-loading.
PlugX permanece como a carga útil recorrente. Esta porta traseira, amplamente documentada pela comunidade de resposta a incidentes, realiza verificações anti-análises antes de estabelecer um canal cifrado para o seu servidor de comando e controle. Nas amostras analisadas o malware admite diferentes comandos para sondear o sistema, ajustar parâmetros de comunicação, baixar e executar novos módulos ou abrir uma shell inversa remota, o que lhe permite tanto a exfiltração de informação quanto a implantação de ferramentas adicionais para manter presença e mover-se lateralmente.
TA416 não atua em isolamento técnico: compartilha sobreposições com outros clusters históricos como Mustang Panda, e com nomes alternativos que foram usados em diferentes relatórios de inteligência. Uma constante entre esses grupos foi a preferência pelo DLL side-loading para aproveitar executáveis legítimos e assinados que carregam código malicioso, o que dificulta sua detecção por controles que confiam na assinatura do binário.
A detecção e atribuição destas campanhas foram nutridas pelo trabalho de empresas de segurança e de análise independentes. Para contextualizar o fenômeno e suas implicações, convém rever, por exemplo, as análises de ameaças e advertências públicas sobre técnicas de abuso de OAuth e redireções de autorização publicadas por fornecedores de segurança e fabricantes de plataformas na nuvem. A Microsoft e outros intervenientes alertaram sobre como os fluxos de autorização legítimos podem ser manipulados para baixar conteúdos maliciosos e contornar protecções convencionais; consultar a página de análise e avisos de segurança da Microsoft em Microsoft Security Blog. Os relatórios de equipas de investigação como os de Proofpoint, que documentam a atividade do TA416, oferecem um panorama mais detalhado sobre as táticas e amostras observadas (ver secções de pesquisa de ameaças em matéria de ameaças). Proofpoint Threat Insight). Além disso, análises sectoriais sobre a evolução das operações com ligações chinesas e a procura de persistência a longo prazo em infra-estruturas críticas estão disponíveis em fontes como Darktrace Insights e em blogs de resposta a incidentes de fornecedores como Arctic Wolf.
Para além dos aspectos técnicos, há uma lógica geopolítica na reorientação deste conjunto: a prioridade sobre objectivos europeus a partir de 2025 e o desvio para governos do Médio Oriente após a crise regional apontam para uma tarefa de inteligência dirigida por eventos internacionais. Os intervenientes persistentes tendem a modular as suas prioridades em função dos focos de tensão global e a reciclar infra-estruturas e técnicas para manter eficácia frente a defesas que evoluem.
Para defensores e responsáveis pela cibersegurança, isso representa um desafio duplo: por um lado, monitorar a superfície de exposição em serviços de colaboração e armazenamento em nuvem; por outro, identificar padrões de abuso de fluxos legítimos. Rever permissões e consentimento de aplicativos OAuth, restringir a execução de binários não esperados como MSBuild em contextos de usuário, monitorar o aparecimento de processos que lancem compilações de projetos locais e criar regras para detectar cargas e execuções incomuns desde contas de e-mail são medidas que ajudam a elevar a dificuldade para o atacante. Além disso, a detecção de DLL side-loading exige observar o uso de executáveis assinados que carregam livrarias desde locais temporários ou não habituais e correlacionar essa atividade com downloads de domínios ou recursos na nuvem recentemente vistos.
A persistência a longo prazo e a capacidade de reaparecer muito tempo após uma intrusão bem-sucedida são características que exigem uma abordagem de resposta que não se limite ao incidente imediato. A identificação de indicadores de compromisso, a caça de ameaças em histórico de telemetria e a higiene na gestão de contas e licenças são elementos necessários para reduzir a janela de exposição que esses atores procuram explorar.
Se você quiser aprofundar a natureza do PlugX e da técnica DLL side-loading, há recursos técnicos e entradas de referência que explicam seu funcionamento e sua presença em campanhas de espionagem: a documentação técnica geral sobre esta família de malware está disponível em repositórios de análise de ameaças como o centro de recursos da Kaspersky ( Kaspersky: PlugX) e em coleções de conhecimento sobre táticas e procedimentos em marcos como MITRE ATT&CK ( MITRE ATT&CK).
Em última análise, a TA416 e grupos conexos exemplificam como a ciber-inteligência moderna combina engenharia social, aproveitamento de serviços legítimos e técnicas de compromisso sofisticadas para sustentar campanhas de coleta de informações com objetivos geopolíticos. A resposta eficaz exige tanto medidas técnicas concretas como uma compreensão da intenção estratégica por trás das intrusões.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...