Aktivitas siber yang dikaitkan dengan aktor ancaman berafiliasi China kembali meningkat di kawasan Eropa setelah periode relatif tenang selama hampir dua tahun. Sejak pertengahan 2025, kelompok yang dilacak sebagai TA416 dilaporkan kembali aktif menargetkan organisasi pemerintah dan misi diplomatik yang terkait dengan Uni Eropa dan NATO, dengan pendekatan serangan yang semakin adaptif dan kompleks.
Menurut laporan dari perusahaan keamanan siber Proofpoint, kampanye ini mencakup beberapa gelombang serangan yang memanfaatkan teknik web bug serta distribusi malware yang dirancang untuk mengumpulkan intelijen dari target bernilai tinggi. Aktivitas ini juga menunjukkan evolusi signifikan dalam rantai infeksi yang digunakan oleh pelaku, termasuk eksploitasi halaman verifikasi seperti Cloudflare Turnstile, penyalahgunaan mekanisme redirect OAuth, serta penggunaan file proyek C# untuk menjalankan payload berbahaya.
TA416 sendiri bukan entitas tunggal yang berdiri sendiri, melainkan bagian dari klaster aktivitas yang memiliki tumpang tindih dengan beberapa kelompok lain seperti DarkPeony, RedDelta, Red Lich, SmugX, UNC6384, dan Vertigo Panda. Selain itu, kelompok ini juga memiliki kesamaan teknis historis dengan klaster Mustang Panda, yang dalam berbagai laporan juga dikenal dengan nama CerenaKeeper, Red Ishtar, dan UNK_SteadySplit. Secara kolektif, aktivitas kelompok-kelompok ini sering dilacak dengan berbagai label seperti Earth Preta, Hive0154, hingga Twill Typhoon.
Kampanye terbaru TA416 terhadap Eropa sebagian besar berfokus pada pengumpulan informasi strategis melalui pendekatan rekayasa sosial yang dikombinasikan dengan malware tingkat lanjut. Salah satu teknik yang digunakan adalah web bug atau tracking pixel, yaitu elemen kecil yang disisipkan dalam email dan secara otomatis mengirimkan permintaan HTTP ke server penyerang ketika email dibuka. Teknik ini memungkinkan pelaku memperoleh data seperti alamat IP korban, user agent, serta waktu akses, yang kemudian digunakan untuk memverifikasi keberhasilan tahap awal serangan.
Dalam beberapa kasus yang diamati pada Desember 2025, TA416 menggunakan aplikasi cloud pihak ketiga berbasis Microsoft Entra ID untuk memulai redirect yang mengarah ke unduhan arsip berbahaya. Email phishing yang digunakan dalam kampanye ini mengandung tautan ke endpoint OAuth resmi milik Microsoft, yang secara sekilas tampak sah. Namun, setelah diklik, pengguna akan dialihkan ke domain yang dikendalikan penyerang sebelum akhirnya mengunduh malware.
Teknik ini memanfaatkan kepercayaan terhadap domain sah untuk melewati mekanisme pertahanan tradisional pada email dan browser. Praktik tersebut juga telah menjadi perhatian Microsoft, yang sebelumnya memperingatkan adanya kampanye phishing yang memanfaatkan redirect OAuth untuk menghindari deteksi sistem keamanan.
Evolusi lebih lanjut dalam rantai infeksi terdeteksi pada Februari 2026, ketika TA416 mulai memanfaatkan layanan penyimpanan cloud seperti Google Drive dan instance SharePoint yang telah dikompromikan. Arsip yang diunduh korban dalam skenario ini biasanya berisi executable MSBuild yang sah serta file proyek C# berbahaya. Ketika dijalankan, MSBuild secara otomatis mencari file proyek di direktori yang sama dan membangunnya, yang dalam kasus ini berfungsi sebagai downloader untuk mengambil komponen malware tambahan.
File proyek tersebut diketahui mendekode beberapa URL yang dienkripsi dalam format Base64, yang kemudian digunakan untuk mengunduh komponen DLL dari server yang dikendalikan penyerang. Teknik ini berujung pada eksekusi malware melalui metode DLL side-loading, yaitu dengan memanfaatkan executable sah untuk memuat library berbahaya tanpa terdeteksi oleh sistem keamanan.
Malware utama yang digunakan dalam kampanye ini adalah PlugX, sebuah backdoor yang telah lama dikaitkan dengan operasi spionase siber yang berafiliasi dengan China. PlugX dikenal karena kemampuannya dalam membangun komunikasi terenkripsi dengan server command-and-control (C2), serta melakukan berbagai fungsi seperti pengumpulan informasi sistem, eksekusi payload tambahan, hingga membuka reverse shell untuk kontrol jarak jauh.
Meski mekanisme dasarnya tetap konsisten, varian PlugX yang digunakan oleh TA416 terus diperbarui untuk menghindari deteksi. Selain itu, executable sah yang digunakan dalam proses DLL side-loading juga bervariasi dari waktu ke waktu, menunjukkan upaya berkelanjutan untuk meningkatkan stealth dan efektivitas serangan.
Selain Eropa, TA416 juga memperluas target operasinya ke kawasan Timur Tengah pada awal 2026. Aktivitas ini muncul setelah meningkatnya ketegangan geopolitik yang melibatkan Amerika Serikat, Israel, dan Iran. Menurut analisis, kampanye ini kemungkinan besar bertujuan untuk mengumpulkan intelijen regional terkait dinamika konflik tersebut, memperlihatkan bagaimana prioritas target kelompok ini sangat dipengaruhi oleh situasi geopolitik global.
Dalam konteks yang lebih luas, temuan ini sejalan dengan laporan dari Darktrace yang menunjukkan bahwa operasi siber yang terkait dengan China telah berevolusi secara signifikan dalam beberapa tahun terakhir. Jika sebelumnya serangan lebih berfokus pada tujuan strategis tertentu, kini pendekatan yang digunakan cenderung lebih adaptif dan berorientasi pada identitas, dengan tujuan membangun persistensi jangka panjang di dalam jaringan target.
Analisis terhadap kampanye antara Juli 2022 hingga September 2025 menunjukkan bahwa sebagian besar serangan melibatkan eksploitasi infrastruktur yang terekspos ke internet untuk mendapatkan akses awal. Organisasi di Amerika Serikat menjadi target utama, diikuti oleh sejumlah negara lain termasuk Italia, Spanyol, Jerman, dan Inggris. Namun, yang menjadi perhatian utama adalah kemampuan aktor untuk mempertahankan akses dalam jangka waktu yang sangat lama.
Dalam salah satu kasus yang diungkap, pelaku berhasil mengkompromikan suatu lingkungan dan mempertahankan persistensi, sebelum kembali aktif lebih dari 600 hari kemudian. Pola ini menunjukkan tingkat perencanaan dan kesabaran yang tinggi, serta menegaskan bahwa tujuan utama dari operasi semacam ini bukan sekadar akses jangka pendek, melainkan kontrol strategis dalam jangka panjang.
Kembalinya aktivitas TA416 ke Eropa setelah sebelumnya berfokus pada Asia Tenggara dan Mongolia menunjukkan adanya pergeseran prioritas intelijen yang signifikan. Dengan kombinasi teknik seperti phishing berbasis OAuth, penyalahgunaan layanan cloud, dan penggunaan malware canggih seperti PlugX, kampanye ini mencerminkan lanskap ancaman yang semakin kompleks dan sulit dideteksi.
Bagi organisasi pemerintah dan sektor publik, temuan ini menjadi pengingat bahwa ancaman tidak hanya datang dari eksploitasi teknis semata, tetapi juga dari penyalahgunaan mekanisme yang sah dan dipercaya. Pendekatan keamanan yang hanya berfokus pada perimeter tradisional menjadi semakin tidak memadai dalam menghadapi serangan yang memanfaatkan identitas, kepercayaan, dan interaksi pengguna sebagai vektor utama.
Seiring meningkatnya ketegangan geopolitik di berbagai kawasan, aktivitas kelompok seperti TA416 diperkirakan akan terus beradaptasi dan berkembang. Fokus pada diplomasi, kebijakan luar negeri, dan infrastruktur kritis menjadikan operasi ini tidak hanya sebagai ancaman teknis, tetapi juga sebagai bagian dari strategi intelijen yang lebih luas dalam persaingan globalL