TA416 Ligado à China Ataca Governos Europeus com PlugX e Phishing Baseado em OAuth

O grupo TA416 (com sobreposição a RedDelta, Mustang Panda e Twill Typhoon) retomou o ataque a entidades diplomáticas da UE e da OTAN em meados de 2025, após dois anos focado no Sudeste Asiático. Sua expansão para alvos governamentais no Oriente Médio no início de 2026 acompanhou de perto o conflito EUA-Israel-Irã. A campanha utilizou múltiplos mecanismos de entrega, incluindo abuso do Cloudflare Turnstile, sequestro de redirecionamento Microsoft OAuth e downloaders de arquivos de projeto C# baseados em MSBuild. Todos convergiam para DLL side-loading para implementar uma variante continuamente atualizada do PlugX com comunicações C2 criptografadas. Este padrão reflete uma mudança mais ampla nas operações ligadas à China em direção a intrusões focadas em identidade e de longa permanência (long-dwell), com a Darktrace documentando um caso em que um ator reapareceu mais de 600 dias após o comprometimento inicial.