Chinese dreigingsactor TA416 richt zich sinds medio 2025 weer op Europese overheden en diplomatieke instanties, na twee jaar focus op Azië. De groep valt nu ook doelen in het Midden-Oosten aan sinds de oorlog met Iran uitbrak. Proofpoint waarschuwt voor voortdurende aanpassingen in aanvalstechnieken.
De Chinese dreigingsactor TA416 heeft zijn spionagecampagnes tegen Europese overheden en diplomatieke instanties hervat. Volgens cybersecuritybedrijf Proofpoint gebeurt dit na een onderbreking van twee jaar waarin de groep zich voornamelijk richtte op Zuidoost-Azië, Taiwan en Mongolië.
Hernieuwde focus op Europa
Sinds midden 2025 valt TA416 weer regelmatig Europese overheids- en diplomatieke instanties aan. De aanvallen richten zich vooral op personen of e-mailaccounts met banden tot diplomatieke missies bij de NAVO en EU. Proofpoint stelt dat deze hernieuwde focus samenvalt met verhoogde spanningen tussen de EU en China over handel, de oorlog tussen Rusland en Oekraïne en de export van zeldzame aardmetalen.
De aanvallen begonnen onmiddellijk na de 25e topontmoeting tussen de EU en China, aldus het bedrijf. Eerder, in 2022, was TA416 intensief actief tegen Europese overheden toen Russische troepen zich aan de Oekraïense grens verzamelden. Die activiteit hield aan tot halverwege 2023.
Uitbreiding naar Midden-Oosten
In maart 2026 breidde TA416 zijn activiteiten uit naar het Midden-Oosten na het uitbreken van de oorlog met Iran. De groep voerde meerdere campagnes uit tegen diplomatieke en overheidsinstanties in de regio. Volgens Proofpoint is dit deel van een bredere trend waarbij door staten gesponsorde dreigingsactoren hun focus verschuiven naar overheden in het Midden-Oosten om regionale inlichtingen over het conflict te verzamelen.
Aanvalstechnieken en malware
TA416 paste tijdens deze periode zijn infectieketen regelmatig aan. Het bedrijf meldt dat de groep misbruik maakt van Cloudflare Turnstile-challengepagina’s en OAuth-omleidingen, gebruik maakt van C#-projectbestanden en de aangepaste PlugX-payload regelmatig bijwerkt. De operaties omvatten meerdere golven van campagnes waarbij web-bugs en malware werden verspreid.
Proofpoint identificeert TA416 als dezelfde groep die in openbare meldingen bekend staat als RedDelta, Red Lich, Vertigo Panda, SmugX en DarkPeony. Het bedrijf verwacht dat de groep prioriteit blijft geven aan aanvallen op zowel Europese diplomatieke netwerken als diplomatieke instanties in het Midden-Oosten, terwijl activiteiten in Zuidoost-Azië voortgaan.
