TA416 China Serang Pemerintah Eropa dengan Phishing OAuth dan Malware PlugX
TA416, kelompok ancaman yang terkait dengan China, mulai menargetkan pemerintah dan organisasi diplomatik di Eropa sejak pertengahan tahun 2025. Setelah dua tahun relatif tenang di kawasan tersebut, kampanye serangan siber ini kembali aktif dengan menggunakan teknik canggih seperti phishing berbasis OAuth dan malware PlugX untuk melakukan spionase cyber terhadap entitas Uni Eropa dan NATO.
Profil dan Metode Serangan TA416 di Eropa
Kelompok yang juga dikenal dengan berbagai nama seperti DarkPeony, RedDelta, Red Lich, SmugX, UNC6384, dan Vertigo Panda ini menggelar beberapa gelombang kampanye pengiriman malware dan web bug yang menargetkan misi diplomatik negara-negara Eropa. Menurut peneliti dari Proofpoint, Mark Kelly dan Georgi Mladenov, TA416 secara berkala mengubah rantai infeksi mereka.
- Menggunakan halaman tantangan Cloudflare Turnstile palsu untuk mengelabui target.
- Menyalahgunakan mekanisme pengalihan OAuth untuk phishing.
- Memanfaatkan file proyek C# dan mengupdate payload PlugX kustom mereka secara rutin.
Teknik phishing OAuth memungkinkan TA416 menyisipkan tautan ke endpoint OAuth Microsoft yang sah, yang ketika diklik, mengarahkan korban ke domain yang dikendalikan penyerang dan akhirnya mengunduh malware PlugX. Cara ini memanfaatkan sistem autentikasi yang sah untuk menghindari deteksi oleh sistem keamanan email dan browser.
Kampanye Regional dan Teknik Malware PlugX
Selain Eropa, TA416 juga aktif menyerang pemerintah dan entitas diplomatik di Timur Tengah pasca konflik AS-Israel-Iran pada Februari 2026, berusaha mengumpulkan intelijen terkait situasi geopolitik tersebut. Kelompok ini diketahui menggunakan berbagai platform penyimpanan online seperti Microsoft Azure Blob Storage, Google Drive, dan SharePoint yang dikompromikan untuk menyebarkan malware.
PlugX, malware andalan TA416, dikenal menggunakan teknik DLL side-loading untuk menyusup ke sistem target, dengan memanfaatkan executable yang sah dan ditandatangani secara digital sebagai perantara. Malware ini juga memiliki kemampuan untuk membuka komunikasi terenkripsi dengan server perintah dan kendali (C2) serta melakukan pemeriksaan anti-analisis agar tidak terdeteksi.
- Mengumpulkan informasi sistem.
- Menghapus malware jika diperintahkan.
- Menyesuaikan interval komunikasi dengan server C2.
- Mengunduh dan menjalankan payload baru.
- Membuka shell perintah balik (reverse shell) untuk kontrol jarak jauh.
Perkembangan Teknik dan Implikasi Keamanan
Perubahan signifikan pada rantai infeksi TA416 terlihat pada Februari 2026, di mana mereka mulai menggunakan arsip yang dihosting di Google Drive dan SharePoint, yang berisi executable MSBuild Microsoft dan file proyek C#. Saat dijalankan, MSBuild membangun proyek tersebut dan mengeksekusi downloader berisi URL terenkode base64 yang mengunduh dan menjalankan malware melalui DLL side-loading.
Microsoft sendiri telah mengeluarkan peringatan tentang metode phishing yang memanfaatkan pengalihan URL OAuth ini untuk menembus pertahanan keamanan di sektor pemerintahan dan publik. Kejadian ini menandakan bahwa teknik serangan TA416 sangat adaptif dan terus berkembang untuk menghindari deteksi.
Sejarah dan Hubungan dengan Kelompok Lain
TA416 memiliki tumpang tindih teknis dengan kelompok Mustang Panda (juga dikenal sebagai CerenaKeeper, Red Ishtar, dan UNK_SteadySplit), yang keduanya sering menggunakan metode serupa seperti DLL side-loading. Namun Mustang Panda lebih sering menggunakan alat seperti TONESHELL, PUBLOAD, dan COOLCLIENT.
Kelompok TA416 kembali memfokuskan serangannya ke entitas Eropa setelah dua tahun lebih banyak berkonsentrasi di Asia Tenggara dan Mongolia, menandakan adanya pergeseran prioritas intelijen terkait diplomasi EU dan NATO. Sementara itu, ekspansi ke Timur Tengah sejalan dengan meningkatnya ketegangan geopolitik di wilayah tersebut.
Analisis Redaksi
Menurut pandangan redaksi, serangan yang dilakukan oleh TA416 bukan hanya sekadar aksi spionase biasa, melainkan bagian dari strategi jangka panjang untuk menguasai informasi penting dan mengontrol jaringan diplomatik serta pemerintahan yang menjadi kunci dalam arena geopolitik global.
Teknik serangan yang semakin kompleks, seperti penyalahgunaan OAuth dan penggunaan infrastruktur penyimpanan cloud legal, memperlihatkan bahwa kelompok ini memiliki kemampuan teknis tinggi dan adaptif. Hal ini menandakan perlunya peningkatan kesadaran keamanan siber di institusi pemerintahan dan diplomatik, khususnya dalam menghadapi ancaman yang terus berubah.
Ke depan, penting untuk memantau bagaimana TA416 dan kelompok terkait lainnya menyesuaikan taktik mereka, terutama dengan berkembangnya teknologi cloud dan layanan autentikasi. Kerjasama internasional dan peningkatan kapabilitas deteksi dini menjadi kunci untuk mencegah infiltrasi yang lebih dalam dan berdampak luas terhadap keamanan nasional dan regional.
Untuk pembaca yang ingin mengetahui lebih lanjut mengenai dinamika serangan siber ini, silakan merujuk pada laporan lengkap di The Hacker News serta sumber resmi keamanan siber lainnya.
What's Your Reaction?
Like
0
Dislike
0
Love
0
Funny
0
Angry
0
Sad
0
Wow
0
