On pensait tous que les cyberéquipes chinoises étaient trop prises à attiser les braises en Asie du Sud-Est et en Mongolie pour revenir hanter l’Europe. Deux ans de relative tranquillité sur ce front — depuis début 2023, s’il vous plaît — avaient permis aux spécialistes de la sécurité de relâcher la pression. Mais mi-2025 ? Pan ! TA416 renverse la vapeur, mitraillant les missions diplomatiques auprès de l’UE et de l’OTAN avec des web bugs, des backdoors PlugX et des redirections OAuth impeccables. Pas un simple hoquet : un virage stratégique vers des cibles européennes juteuses.
Et le clou du spectacle — ou plutôt le soupir blasé du vétéran du cyber. On a déjà vu ce film. Vous vous souvenez des entourloupes de side-loading DLL par Mustang Panda il y a dix ans ? TA416 partage le même ADN, et voilà qu’ils peaufinent leur recueil de recettes pendant que l’Occident s’écharpe sur les amendes RGPD. Qui gagne vraiment ? Pas les diplomates qui mordent à l’hameçon des mails gratuits.
Pourquoi TA416 Remet l’Europe dans son Viseur ?
Les feuilles de thé géopolitiques ne trompent pas. TA416 — ce sac de nœuds d’alias comme DarkPeony, RedDelta, UNC6384 — avait le regard rivé ailleurs. Mais après 2025, c’est l’invasion des boîtes mail européennes par des pixels de traçage. De minuscules web bugs invisibles dans les e-mails qui renvoient IP, agents utilisateurs, heures d’ouverture. Proofpoint l’explique à la perfection :
« Un web bug (ou pixel de traçage) est un petit objet invisible intégré dans un e-mail qui déclenche une requête HTTP vers un serveur distant à l’ouverture, révélant l’adresse IP du destinataire, son agent utilisateur et l’heure d’accès, permettant à l’acteur malveillant d’évaluer si l’e-mail a été ouvert par la cible prévue. »
De la reco futée, non ? Pas de malware pour l’instant — juste de la prospection pour repérer les poissons. Puis, montée en puissance : archives piégées sur Azure Blob, Google Drive, domaines bidons, voire SharePoint détournés. Tout ça pour livrer des payloads PlugX sur mesure. Ils ont bidouillé leurs chaînes d’infection à l’infini — abus de Cloudflare Turnstile, projets C#, tours de passe-passe OAuth. C’est comme regarder un hacker passer du téléphone à clapet au smartphone en plein casse.
Mark Kelly et Georgi Mladenov de Proofpoint ont repéré plusieurs vagues touchant des pays à travers le continent. Diplomates de poids lourds, affiliés OTAN. Et sans parler du business parallèle au Moyen-Orient — après l’embrasement États-Unis-Israël-Iran en février 2026, TA416 s’y est mis aussi, aspirant du renseignement sur le chaos.
Mais l’Europe, c’est le vrai feuilleton. Après deux ans d’accalmie, cette offensive hurlante signale un reset du renseignement. Diplomatie UE-OTAN ? Du terrain de chasse idéal pour les yeux indiscrets de Pékin.
Le Phishing OAuth Vraiment Plus Malin que les Filtres Anti-Spam ?
Réponse courte : oui, plus que vous ne l’imaginez. Vague de décembre 2025 ? TA416 glisse des liens phishing vers l’endpoint OAuth légitime de Microsoft. Clic — redirection chez l’attaquant — bim, téléchargement PlugX. Microsoft en personne l’a signalé le mois dernier, alertant les secteurs publics sur ces détours qui contournent navigateurs et défenses mail.
Février 2026, encore plus raffiné. Archives avec MSBuild.exe authentique et projets C# piégés. Lancez-le, et MSBuild compile automatiquement le projet — qui décode des URL Base64, chope un trio DLL side-loading depuis les domaines TA416, les balance en temp, et déclenche PlugX via un exe signé détourné.
« Quand l’exécutable MSBuild est lancé, il cherche un fichier projet dans le répertoire courant et le compile automatiquement », notent les chercheurs. « Dans les activités observées de TA416, le fichier CSPROJ fait office de downloader… exécutant un exécutable légitime pour charger PlugX via la chaîne classique de side-loading DLL du groupe. »
PlugX lui-même ? Le vieux fidèle. Canaux C2 chiffrés, astuces anti-analyse, cinq commandes : sysinfo (0
