TA416 reprend l'espionnage des gouvernements européens et s'étend au Moyen-Orient

🌐 Contexte

Cet article est une publication de recherche de Proofpoint (Threat Insight), datée du 26 mars 2026, analysant la reprise des activités du groupe de menace TA416 (aligné Chine, aussi connu sous les noms RedDelta, Red Lich, Vertigo Panda, SmugX, DarkPeony) contre des cibles européennes et moyen-orientales.

🎯 Ciblage et contexte géopolitique

Depuis mi-2025, TA416 a repris ses campagnes contre les missions diplomatiques et gouvernements européens, notamment ceux accrédités auprès de l’UE et de l’OTAN. Cette reprise coïncide avec le 25e sommet UE-Chine et des tensions accrues autour du commerce, de la guerre Russie-Ukraine et des exportations de terres rares.

En mars 2026, suite au déclenchement d’un conflit en Iran, TA416 a étendu son ciblage aux entités gouvernementales et diplomatiques du Moyen-Orient, une région historiquement peu ciblée par ce groupe.

📧 Techniques de livraison

Campagnes de web bugs (tracking pixels) :

• Envoi de plus de 100 emails de phishing depuis des comptes Gmail (juillet-août 2025)
• Thèmes leurres : préoccupations humanitaires, demandes d’interview, troupes européennes au Groenland
• URLs de tracking hébergées sur des domaines contrôlés par l’acteur

Campagnes de livraison de malware :

• Utilisation de comptes freemail et de boîtes mail gouvernementales compromises
• Liens vers des archives malveillantes hébergées sur Microsoft Azure Blob Storage, Google Drive, SharePoint compromis, et domaines contrôlés
• Usurpation d’identité d’entités diplomatiques (ex: ministère islandais des Affaires étrangères)

🔗 Évolution des chaînes d’infection

TA416 a régulièrement modifié ses vecteurs d’accès initial tout en maintenant PlugX comme payload final via DLL sideloading :

1. Sept. 2025 – Jan. 2026 : Fausses pages Cloudflare Turnstile hébergées sur Azure Blob Storage → redirection vers archives ZIP malveillantes
2. Déc. 2025 – Jan. 2026 : Abus de redirections Microsoft Entra ID OAuth (scope=invalid, prompt=none) → téléchargement direct d’archives malveillantes
3. Fév. 2026 : Archives contenant un exécutable MSBuild renommé et des fichiers de projet C# (CSPROJ) agissant comme downloaders

Dans tous les cas, la technique de ZIP smuggling via fichiers LNK ou des downloaders CSPROJ est utilisée pour livrer un triad de DLL sideloading chargeant PlugX en mémoire.

🛠️ PlugX : mises à jour techniques

• Persistance : copie du triad dans C:\Users\Public\Canon, clé Run registry Canon pointant vers CNMNSST.exe
• Loader DLL : CNCLID.dll utilisant DJB2 API hashing, exécution de Canon.dat comme shellcode
• Obfuscation : API hashing, junk code, control-flow flattening
• C&C : HTTP avec protocole binaire chiffré RC4 ; évolution du protocole (suppression des headers Sec-Fetch-*, introduction d’un token 16 caractères dans Cookie)
• Configuration : double couche de chiffrement (RC4 + XOR roulant) depuis février 2026
• Commandes disponibles : beacon SYSINFO, désinstallation, ajustement des intervalles, téléchargement de nouveau payload, shell inversé

🏗️ Infrastructure

• Utilisation quasi-exclusive de domaines anciennement légitimes re-enregistrés
• Hébergement via Cloudflare CDN pour masquer les IPs backend
• Fournisseurs VPS favoris : Evoxt Enterprise (AS149440), XNNET LLC (AS6134), Kaopu Cloud HK Limited (AS138915)
• Déploiement de faux sites web sur les domaines C2 pour paraître légitimes

🔍 Attribution et clusters

Proofpoint distingue deux clusters au sein de ce qui est communément appelé Mustang Panda : TA416 (couvert ici) et UNK_SteadySplit (utilisateur de TONESHELL et PUBLOAD, ciblant l’Asie du Sud-Est). Des overlaps techniques historiques existent mais les deux clusters sont considérés opérationnellement distincts.

📄 Type d’article

Publication de recherche en threat intelligence, visant à documenter la reprise d’activité de TA416, l’évolution de ses TTPs et à fournir des indicateurs de compromission exploitables.

🧠 TTPs et IOCs détectés

Acteurs de menace

• TA416 (state-sponsored) — orkl.eu · Malpedia · MITRE ATT&CK

TTP

• T1566.002 — Phishing: Spearphishing Link (Initial Access)
• T1598.003 — Phishing for Information: Spearphishing Link (Reconnaissance)
• T1027 — Obfuscated Files or Information (Defense Evasion)
• T1574.002 — Hijack Execution Flow: DLL Side-Loading (Defense Evasion)
• T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
• T1059.003 — Command and Scripting Interpreter: Windows Command Shell (Execution)
• T1547.001 — Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (Persistence)
• T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
• T1573.001 — Encrypted Channel: Symmetric Cryptography (Command and Control)
• T1102 — Web Service (Command and Control)
• T1608.001 — Stage Capabilities: Upload Malware (Resource Development)
• T1586.002 — Compromise Accounts: Email Accounts (Resource Development)
• T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
• T1553.002 — Subvert Trust Controls: Code Signing (Defense Evasion)
• T1082 — System Information Discovery (Discovery)
• T1033 — System Owner/User Discovery (Discovery)
• T1041 — Exfiltration Over C2 Channel (Exfiltration)
• T1204.002 — User Execution: Malicious File (Execution)
• T1560 — Archive Collected Data (Collection)
• T1550.001 — Use Alternate Authentication Material: Application Access Token (Defense Evasion)

IOC

• Domaines : cnrelojes.com — VT · URLhaus · ThreatFox
• Domaines : hnk-capljina.com — VT · URLhaus · ThreatFox
• Domaines : harrietmwelch.com — VT · URLhaus · ThreatFox
• Domaines : theprmummy.com — VT · URLhaus · ThreatFox
• Domaines : ecolnomy.com — VT · URLhaus · ThreatFox
• Domaines : mettayoga.org — VT · URLhaus · ThreatFox
• Domaines : it-evenement.nl — VT · URLhaus · ThreatFox
• Domaines : welnetsanda.org — VT · URLhaus · ThreatFox
• Domaines : thecamco.net — VT · URLhaus · ThreatFox
• Domaines : paquimetro.net — VT · URLhaus · ThreatFox
• Domaines : fuyuju.com — VT · URLhaus · ThreatFox
• Domaines : nvofficespace.com — VT · URLhaus · ThreatFox
• Domaines : premegalithic.com — VT · URLhaus · ThreatFox
• Domaines : phpthemes.net — VT · URLhaus · ThreatFox
• Domaines : supplementsoftheyear.com — VT · URLhaus · ThreatFox
• Domaines : colorflee.org — VT · URLhaus · ThreatFox
• Domaines : atravelingwitch.com — VT · URLhaus · ThreatFox
• Domaines : napasbdc.org — VT · URLhaus · ThreatFox
• Domaines : buzzurro.net — VT · URLhaus · ThreatFox
• Domaines : racineupci.org — VT · URLhaus · ThreatFox
• Domaines : cubukluescort.com — VT · URLhaus · ThreatFox
• Domaines : cseconline.org — VT · URLhaus · ThreatFox
• Domaines : ecomputers.org — VT · URLhaus · ThreatFox
• Domaines : designehair.com — VT · URLhaus · ThreatFox
• Domaines : loumuenz.com — VT · URLhaus · ThreatFox
• Domaines : ronnybush.net — VT · URLhaus · ThreatFox
• Domaines : hayabusamt.com — VT · URLhaus · ThreatFox
• Domaines : rondabusco.com — VT · URLhaus · ThreatFox
• Domaines : doorforum.com — VT · URLhaus · ThreatFox
• Domaines : portabalbufe.com — VT · URLhaus · ThreatFox
• Domaines : papermoonweddings.com — VT · URLhaus · ThreatFox
• Domaines : hoplitellc.com — VT · URLhaus · ThreatFox
• Domaines : mongolianews.info — VT · URLhaus · ThreatFox
• Domaines : devredin.com — VT · URLhaus · ThreatFox
• Domaines : famisu.com — VT · URLhaus · ThreatFox
• Domaines : espacebus.com — VT · URLhaus · ThreatFox
• Domaines : dnzapping.com — VT · URLhaus · ThreatFox
• Domaines : buddhismnewsdaily.org — VT · URLhaus · ThreatFox
• Domaines : buywownow.com — VT · URLhaus · ThreatFox
• Domaines : goodmedsx.com — VT · URLhaus · ThreatFox
• Domaines : anbusivam.com — VT · URLhaus · ThreatFox
• Domaines : phbusiness.net — VT · URLhaus · ThreatFox
• Domaines : bobbush.org — VT · URLhaus · ThreatFox
• Domaines : majicbus.org — VT · URLhaus · ThreatFox
• Domaines : busopps.org — VT · URLhaus · ThreatFox
• Domaines : turileco.net — VT · URLhaus · ThreatFox
• Domaines : basecampbox.com — VT · URLhaus · ThreatFox
• Domaines : adimagemarketing.com — VT · URLhaus · ThreatFox
• Domaines : ecoafrique.net — VT · URLhaus · ThreatFox
• Domaines : speedifynews.com — VT · URLhaus · ThreatFox
• Domaines : creatday.com — VT · URLhaus · ThreatFox
• Domaines : fruitbrat.com — VT · URLhaus · ThreatFox
• Domaines : dalerocks.com — VT · URLhaus · ThreatFox
• Domaines : aaitile.com — VT · URLhaus · ThreatFox
• Domaines : ombut.com — VT · URLhaus · ThreatFox
• Domaines : gestationsdiabetes.com — VT · URLhaus · ThreatFox
• Domaines : gynecocuk.net — VT · URLhaus · ThreatFox
• Domaines : decoraat.net — VT · URLhaus · ThreatFox
• Domaines : embwishes.com — VT · URLhaus · ThreatFox
• Domaines : carhirechicago.com — VT · URLhaus · ThreatFox
• Domaines : ytsonline.net — VT · URLhaus · ThreatFox
• Domaines : coastallasercompany.com — VT · URLhaus · ThreatFox
• Domaines : shalomrav.org — VT · URLhaus · ThreatFox
• Domaines : rhonline.net — VT · URLhaus · ThreatFox
• Domaines : winesnmore.net — VT · URLhaus · ThreatFox
• Domaines : alpinemfg.net — VT · URLhaus · ThreatFox
• Domaines : amblecote.net — VT · URLhaus · ThreatFox
• Domaines : stuypa.org — VT · URLhaus · ThreatFox
• Domaines : buscacnpj.org — VT · URLhaus · ThreatFox
• Domaines : subusiness.org — VT · URLhaus · ThreatFox
• Domaines : florarevival.com — VT · URLhaus · ThreatFox
• Domaines : bushidomma.net — VT · URLhaus · ThreatFox
• Domaines : devlyrics.com — VT · URLhaus · ThreatFox
• Domaines : softhunts.com — VT · URLhaus · ThreatFox
• Domaines : gesecole.net — VT · URLhaus · ThreatFox
• Domaines : meritsoftwebportals.com — VT · URLhaus · ThreatFox
• Domaines : foxmediagency.com — VT · URLhaus · ThreatFox
• Domaines : ghonline.net — VT · URLhaus · ThreatFox
• Domaines : mydownload.z29.web.core.windows.net — VT · URLhaus · ThreatFox
• Domaines : mydownloadfile.z7.web.core.windows.net — VT · URLhaus · ThreatFox
• Domaines : mydownfile.z11.web.core.windows.net — VT · URLhaus · ThreatFox
• Domaines : filesdownld.z13.web.core.windows.net — VT · URLhaus · ThreatFox
• Domaines : attd.z23.web.core.windows.net — VT · URLhaus · ThreatFox
• Domaines : filestoretome.z23.web.core.windows.net — VT · URLhaus · ThreatFox
• Domaines : gooledives.z48.web.core.windows.net — VT · URLhaus · ThreatFox
• Domaines : reloadsite.z13.web.core.windows.net — VT · URLhaus · ThreatFox
• URLs : https://mydownload.z29.web.core.windows.net/nv2199_update_on_situation_of_cambodia-thailand_border — URLhaus
• URLs : https://mydownload.z29.web.core.windows.net/nv2230_update_of_situation_on_cambodia-thailand_border — URLhaus
• URLs : https://mydownload.z29.web.core.windows.net/naju_plan_obuka_oktobar_2025.html — URLhaus
• URLs : https://mydownload.z29.web.core.windows.net/epc_invitation_letter_copenhagen_1-2_october_2025.html — URLhaus
• URLs : https://mydownloadfile.z7.web.core.windows.net/jatec_workshop_on_wartime_defence_procurement_(9-1 — URLhaus
• URLs : https://mydownfile.z11.web.core.windows.net/agenda_meeting_26_sep_brussels.html — URLhaus
• URLs : https://filesdownld.z13.web.core.windows.net/a9t3zb7l1qx5.html — URLhaus
• URLs : https://filestoretome.z23.web.core.windows.net/filelocate.html — URLhaus
• URLs : https://attd.z23.web.core.windows.net/attd.html — URLhaus
• URLs : https://gooledives.z48.web.core.windows.net/election_2026.html — URLhaus
• URLs : https://welnetsanda.org/images/upload/logo.png — URLhaus
• URLs : https://phpthemes.net/images/upload/eu.png — URLhaus
• URLs : https://web.florarevival.com:443/download/a6d6u9ff13?error=interaction_required&error_description=s — URLhaus
• URLs : https://www.bushidomma.net/download/l7o9afe?error=interaction_required&error_description=session+ — URLhaus
• URLs : https://www.buscacnpj.org/download/we7823bn?error=interaction_required&error_description=session+ — URLhaus
• URLs : https://www.subusiness.org/download/aetce17ge?error=interaction_required&error_description=session — URLhaus
• URLs : https://www.foxmediagency.com/download/qqa36sa0d6fq066?error=interaction_required&error_description= — URLhaus
• URLs : https://dash.ghonline.net:443/download/jyebbtg?error=interaction_required&error_description=Session — URLhaus
• SHA256 : 262a1003a2cd04993b29e687686eba573d6202fea8611c437ecbd6312802677a — VT · MalwareBazaar
• SHA256 : 7c96d08f5ce46d1a857184490a7e68ca2b02e9cbe9d188742f184f21bc9c62d9 — VT · MalwareBazaar
• SHA256 : ae8d2cef8eac099f892e37cc50825d329459baa9625b71fb6f4b7e8f33c6ccce — VT · MalwareBazaar
• SHA256 : 36e516182b4c8aa48ea3e50b7dc353f32d3412f59fb0cb1c7b3590aa4d821c57 — VT · MalwareBazaar
• SHA256 : 30475ff5b32776e554433ff00e7c18590253521024662c267abaefd24f1b9bbe — VT · MalwareBazaar
• SHA256 : 28a8bdaee803d9cf9186ff4756e15b0fb491fd3b65bde002361615f27e5ca92d — VT · MalwareBazaar
• SHA256 : c96338533d0ab4de8201ce1f793e9ea18d30c6179daf1e312e0f01aff8f50415 — VT · MalwareBazaar
• SHA256 : 56f0247049be8b9dc1da7c55957d2fb4f7177965ba62789c512f3e2b4c0c5c26 — VT · MalwareBazaar
• SHA256 : e036e2ba402d808adbb7982ec8d7a207849ff40456633b2b372bc7916d9dc22f — VT · MalwareBazaar
• SHA256 : e1e597852d684bd6d0395d5094e58831f13635f668e7cf66ba71b8b66be0ce6c — VT · MalwareBazaar
• SHA256 : 795ad4789a185c3abc35b3ad82117db6b60a7b8ab857e41080873f070d4a06f0 — VT · MalwareBazaar
• SHA256 : 79e0ab17e761a00ad12b9848f1f07b507f57db532fa2df8c722693e14feb17c3 — VT · MalwareBazaar
• SHA256 : 784a914bd1878ad68a6cf3f693da5ddcc2f04b794204333098ad749b7e372fd4 — VT · MalwareBazaar
• SHA256 : e31eafb49dbcad079ff177703b5a033f3e0365991cf28492339eccfe0fdf812c — VT · MalwareBazaar
• SHA256 : 2c3708a103b257fa75fcb34948c817fd564d4479f1e267b33c5b08f0d4c7634f — VT · MalwareBazaar
• SHA256 : e9d8f28fd0aef3bc3f5b28a41b3f342165b371db9aefd7d03f2aba4292009d3e — VT · MalwareBazaar
• SHA256 : 50746ddd81a5dbc5cec793209ab552125fff9c7184aa5bcfe22d6c3b267f67f1 — VT · MalwareBazaar
• SHA256 : d0576b39bb6c05ea0a24d3a3d5d7cb234454fefc65860f21a97757582adc7650 — VT · MalwareBazaar
• SHA256 : 84d6a8b47edadf5725d9937d8928a90d190e0c98b5b4d1a4c58e97cddcd36768 — VT · MalwareBazaar
• SHA256 : f988d58e4a32b908ff7a557d740c6860c59807832c7626774330dcaed65ead14 — VT · MalwareBazaar
• SHA256 : 31f3606433e95bfbb047d31c885e56a70111e130f3d2da0580644c01323b46d1 — VT · MalwareBazaar
• SHA256 : 29cd44aa2a51a200d82cca578d97dc13241bc906ea6a33b132c6ca567dc8f3ad — VT · MalwareBazaar
• SHA256 : 7d2b6c48cbd6cef05ea2bdae7dfc001504cccda99dd89eb7fe6646e96c1d5515 — VT · MalwareBazaar
• SHA256 : 3e7478d3854eaeed487230ba9299c87d5a5d70e4fbeac841555327c76b7b405e — VT · MalwareBazaar
• SHA256 : c8a6302adf92353556c600a0afa9146fbc04663fffe8be90808df2bf04ec5703 — VT · MalwareBazaar
• SHA256 : de8ddc2451fb1305d76ab20661725d11c77625aeeaa1447faf3fbf56706c87f1 — VT · MalwareBazaar
• SHA256 : f333bc5238e39790fb7560de067a852e9a99df2bb783cf08738d8a0d424b9658 — VT · MalwareBazaar
• SHA256 : 06a70c54c580ec4c362bfbc94147a0f1ac9020c421933ccf494a8d553b114260 — VT · MalwareBazaar
• SHA256 : 46314092c8d00ab93cbbdc824b9fc39dec9303169163b9625bae3b1717d70ebc — VT · MalwareBazaar
• SHA256 : e7ed0cd4115f3ff35c38d36cc50c6a13eba2d845554439a36108789cd1e05b17 — VT · MalwareBazaar
• SHA256 : a3f9e20315663e4e8feb13e77563e3cb0f2f4844734987e51e14bd172b9a04fd — VT · MalwareBazaar
• SHA256 : 5c3208c5217933e16c5119e7baf78f85fd409e8822d1cd7a8ef2d52a5bd511c1 — VT · MalwareBazaar
• SHA256 : 42c3b9cad6c8383699eba4f82d51908c0d61e9ea454bc40447cf20475ce20ff0 — VT · MalwareBazaar
• SHA256 : 64bae6a215ad9e956d1028603438228003d832bdd5e586ad4988f5c7ad1c54f0 — VT · MalwareBazaar
• SHA256 : 843b22df66f87a587be77145da163f9615fe8164a5ea17f9e33562ff43894fbf — VT · MalwareBazaar
• SHA256 : eb10443a2f0b9a25d01a84426a6a8532b0e7c9157abda55b94c98a1fd2d45562 — VT · MalwareBazaar
• SHA256 : b1606ca49aa15eadb039f33d438697973b203693d0003e467e1f33b36d10a530 — VT · MalwareBazaar
• SHA256 : 87929c8f53341a5e413950d33c7946c64e1d4b2eba6d1a8b2d08ef56f7065052 — VT · MalwareBazaar
• SHA256 : 6788365386ccd34d1db681c61ef07ef4d2faea5672571b77a76dc48f327afaa9 — VT · MalwareBazaar
• SHA256 : 2712f4ac5ad422bcf749699389cb1a0111a1b11e298efb0cffebc2e2f0becb5f — VT · MalwareBazaar
• SHA256 : 4d528842c7fe73681dfe569d38a39f8d38ca5548dbc8b6ac02df096713a92efd — VT · MalwareBazaar
• SHA256 : 45d8d4f04eb44dc5d10290038825194b0ffc38048a786b4a8b81bb796afc58a3 — VT · MalwareBazaar
• SHA256 : a82c8845587a87010eab52ef8c35d45eaea8eb8102aae77ec96e222197b7db66 — VT · MalwareBazaar
• SHA256 : 16e258b7b712b747a6037d56ee8d2cc99f8f8139da4a3a59c24af0887531ace0 — VT · MalwareBazaar
• SHA256 : 29a70241660ff3234f1c5e8c01878ee01adb4a289262bd37403e1a323129ea86 — VT · MalwareBazaar
• SHA256 : c73050860c8aaa0f79c03781519cdcee133832805e2e3e778fef3cb0e917efb1 — VT · MalwareBazaar
• SHA256 : 9d61c4e21bbbddde5bb780ea0c5238a3538a84b9afe98d62d08845b47fb5caa9 — VT · MalwareBazaar
• SHA256 : b394e7a3b350b2104b73e29a04e48e5ede5078b9a811abae58d842ce3442c6b3 — VT · MalwareBazaar
• SHA256 : 0b916d2b4a02d01b42c2b04e281d786a05cc7974d2c4a272b01e8060fa713403 — VT · MalwareBazaar
• SHA256 : 965894996e2cb9be1e0ccc509e079e7eca072cbc4e68945beb00ff5979dda19c — VT · MalwareBazaar
• SHA256 : 69b685fadce4f34bc4964b3d78d43694a428ae1ee4d2fe0ce4ed26fad07847fa — VT · MalwareBazaar
• SHA256 : 30c71d644bc72e0d55d46bed753ab3f72dc77b7f1be0e34693c957939a779507 — VT · MalwareBazaar
• SHA256 : e79d19d68d307c12413f8549aafa4a56776002dd04601e36e0125b2e6d56ff94 — VT · MalwareBazaar
• SHA256 : 44cfba85aa27265779b01f6eb8b69718462b1ca8078b21066061e8d1622dff7a — VT · MalwareBazaar
• SHA256 : 774841a2bfb07b61a8be3de8ae31e9847f987de652eef179761dc3d1b34c42ff — VT · MalwareBazaar
• SHA256 : 3c065947461df428b0d29e401e2a28a0d2560943e96d3ac8b9ed71858fbcec38 — VT · MalwareBazaar
• SHA256 : 7be77e6166aae9a89b16b64b593f35afc7424926047635f2230a4e364c6a46d8 — VT · MalwareBazaar
• SHA256 : b6d866054dedf7a882dd1fa405a066de1278e35acf639b3a0e850a637d27c4bc — VT · MalwareBazaar
• SHA256 : 9e67f72bfbc8772ce10633430e1277fd8374e99877ddedb598b4f6717c799eeb — VT · MalwareBazaar
• SHA256 : de13e4b4368fbe8030622f747aed107d5f6c5fec6e11c31060821a12ed2d6ccd — VT · MalwareBazaar
• SHA256 : a95e3857e2f32c2a9c23accadebc1ad6aabf73fed9d63c792d69122d9ec6726d — VT · MalwareBazaar
• SHA256 : 3021f4d365a641722748c5e60d983a080db17bef8f0a1dbe624ffe63cd544cc1 — VT · MalwareBazaar
• SHA256 : c5267fefaac1764eba5f42681eb216f146b7d18fcbf546275d33e70cb36fdfba — VT · MalwareBazaar
• SHA256 : bcd30f2116f5ba6731c628483d597b2ba3620ed464c63875855906306beb102a — VT · MalwareBazaar
• SHA256 : 1df74ce45aa9320c48858eddce3f46f5687fbfdcfd497d92a1e17476e7a2951e — VT · MalwareBazaar
• SHA256 : 93e9402af72b355554f9ba93c64871b1bae5be498e3b8a10e61ebdd10ab0d050 — VT · MalwareBazaar
• SHA256 : 2261c7640fe2f3c2385de61c546b5020ec8a486ad5bad64c31bc9268f6b36a2c — VT · MalwareBazaar
• Emails : emmeline.voss@gmail.com
• Emails : kordula.wehrli@gmail.com
• Emails : kayden.beaufort@gmail.com
• Emails : epc.copenhagen2025.dm@gmail.com
• Emails : galinaburl76@gmail.com
• Emails : office2000005@gmail.com
• Emails : hsuhalingaye26@gmail.com
• Fichiers : cnmpaui.exe
• Fichiers : steam_monitor.exe
• Fichiers : ABRemove.exe
• Fichiers : Avk.exe
• Fichiers : ErsChk.exe
• Fichiers : CNMNSST2.exe
• Fichiers : CNMNSST.exe
• Fichiers : CNCLID.dll
• Fichiers : Canon.dat
• Chemins : C:\Users\Public\Canon
• Chemins : %public%\GData

Malware / Outils

• PlugX (backdoor)
• TONESHELL (backdoor)
• PUBLOAD (loader)

---

🟢 Indice de vérification factuelle : 95/100 (haute)

• ✅ proofpoint.com — source reconnue (liste interne) (20pts)
• ✅ 37391 chars — texte complet (fulltext extrait) (15pts)
• ✅ 189 IOCs dont des hashes (15pts)
• ✅ 6/9 IOCs confirmés (MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
• ✅ 20 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ✅ acteur(s) identifié(s) : TA416 (5pts)
• ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

• 262a1003a2cd0499… (sha256) → VT (32/77 détections)
• 7c96d08f5ce46d1a… (sha256) → VT (32/77 détections)
• ae8d2cef8eac099f… (sha256) → VT (44/77 détections)
• cnrelojes.com (domain) → VT (15/94 détections)
• hnk-capljina.com (domain) → VT (18/94 détections)

---

🔗 Source originale : https://www.proofpoint.com/us/blog/threat-insight/id-come-running-back-eu-again-ta416-resumes-european-government-espionage