Chinese dreigingsactor TA416 richt zich weer steeds meer op Europese doelen

De hernieuwde focus van TA416 op Europa richt zich met name op personen en e-mailaccounts die verbonden zijn met diplomatieke missies en delegaties bij de NAVO en de Europese Unie. Deze verschuiving valt samen met toenemende spanningen tussen de EU en China op het gebied van handel, de oorlog tussen Rusland en Oekraïne, en de export van zeldzame aardmetalen. De aanvallen begonnen direct na de 25e topontmoeting tussen de EU en China.

Onderdeel van bredere trend

In maart 2026, na het uitbreken van de oorlog met Iran, breidde TA416 zijn activiteiten uit naar diplomatieke en overheidsinstanties in het Midden-Oosten. Deze regio was voorheen geen regelmatig doelwit van de groep. Volgens Proofpoint sluit deze verschuiving aan bij een bredere trend waarbij door staten gesponsorde dreigingsactoren hun aandacht verleggen naar het Midden-Oosten, waarschijnlijk om regionale inlichtingen te verzamelen over het conflict en de geopolitieke implicaties ervan.

Tijdens deze campagnes paste TA416 regelmatig zijn methoden aan, waaronder het gebruik van valse Cloudflare Turnstile-pagina’s, misbruik van OAuth-omleidingen en het inzetten van C#-projectbestanden. Daarnaast werd de aangepaste PlugX-payload voortdurend bijgewerkt.

De activiteiten van TA416 laten zien dat de groep zowel Europese diplomatieke netwerken als overheidsinstanties in het Midden-Oosten blijft prioriteren, afhankelijk van de geopolitieke ontwikkelingen. Daarnaast blijven ze actief in Zuidoost-Azië. Organisaties die mogelijk doelwit zijn, moeten rekening houden met voortdurende aanpassingen in de aanvalsmethoden, zoals spearphishing-campagnes en bijgewerkte PlugX-payloads.

Meer informatie over het onderzoek is hier beschikbaar.