Um grupo hacker associado à China voltou a intensificar ataques contra governos e organizações diplomáticas na Europa, utilizando uma combinação de malware avançado e técnicas sofisticadas de phishing. A campanha, ativa desde meados de 2025, foi atribuída ao cluster TA416, conhecido por suas operações de espionagem cibernética altamente direcionadas.

Segundo análises da empresa de segurança Proofpoint, os ataques têm como alvo missões diplomáticas ligadas à União Europeia e à OTAN, além de organizações governamentais em diferentes países europeus. A operação também se expandiu recentemente para o Oriente Médio, possivelmente em resposta às tensões geopolíticas envolvendo Estados Unidos, Israel e Irã.

A campanha utiliza múltiplas técnicas para infiltração, incluindo o uso de “web bugs” — pequenos elementos invisíveis em e-mails que permitem aos hackers identificar se a mensagem foi aberta e coletar informações como endereço IP e comportamento do usuário. A partir daí, os ataques evoluem para o envio de malware, principalmente o backdoor PlugX, amplamente utilizado em operações de espionagem.

Uma das técnicas mais sofisticadas envolve o abuso de fluxos legítimos de autenticação via OAuth. Os e-mails de phishing direcionam as vítimas para páginas oficiais de autorização da Microsoft, que, após o login, redirecionam o usuário para domínios controlados pelos hackers, iniciando o download de arquivos maliciosos. Essa abordagem permite contornar mecanismos tradicionais de segurança em e-mails e navegadores.

Além disso, os invasores têm utilizado serviços legítimos como Microsoft Azure, Google Drive e SharePoint comprometido para hospedar arquivos maliciosos, dificultando ainda mais a detecção. Em uma das cadeias de ataque mais recentes, os arquivos baixados incluem um executável legítimo da Microsoft (MSBuild) combinado com um projeto malicioso em C#, que atua como downloader para instalar o malware.

O PlugX continua sendo o principal vetor de persistência nos sistemas comprometidos. Após a infecção, o malware estabelece comunicação criptografada com servidores de comando e controle (C2), permitindo aos hackers executar comandos remotamente, coletar informações do sistema e implantar novos payloads.

Especialistas destacam que o grupo demonstra alta capacidade de adaptação, alterando constantemente suas técnicas para evitar detecção. O uso de DLL side-loading, abuso de serviços confiáveis e engenharia social avançada reforça a sofisticação das operações.

O retorno do TA416 ao cenário europeu, após um período focado no Sudeste Asiático, indica uma mudança estratégica alinhada a interesses geopolíticos. De acordo com análises recentes, campanhas desse tipo têm evoluído para ataques mais centrados em identidade e persistência de longo prazo, com invasões que podem permanecer ocultas por meses — ou até anos — antes de serem reativadas.

O cenário reforça um alerta crítico: ataques modernos não buscam apenas acesso imediato, mas sim presença silenciosa e contínua dentro de infraestruturas críticas, permitindo coleta de inteligência estratégica ao longo do tempo.