Cyberguerre

TA416 cible les missions de l’UE et de l’OTAN avec PlugX et du phishing OAuth

Photo of Olivier Gouin Olivier Gouin Follow on Twitter avril 4, 2026
0 352 4 minutes de lecture
Employés devant un bâtiment gouvernemental, alerte cybersécurité sur smartphone
Des campagnes de phishing ciblent des institutions publiques européennes, image d’illustration.

TA416, un acteur de cyberespionnage lié à la Chine, a remis l’Europe dans sa ligne de mire depuis mi-2025. Les cibles décrites par les chercheurs sont des organisations gouvernementales et diplomatiques, avec un focus marqué sur des boîtes mail rattachées à des missions auprès de l’Union européenne et de l’OTAN. La mécanique combine reconnaissance par web bugs et livraison de malware, avec un objectif clair, obtenir un accès durable.

Le point qui doit te faire tiquer, c’est la capacité du groupe à changer de méthode sans changer de but. Entre l’abus de redirections OAuth, des pages de défi façon Cloudflare Turnstile et des archives conçues pour charger une porte dérobée, TA416 ajuste sa chaîne d’infection pour contourner les filtres. Et pendant que l’Europe encaisse, le groupe a aussi élargi ses opérations à des entités gouvernementales au Moyen-Orient début 2026.

Proofpoint relie TA416 à PlugX contre des missions UE et OTAN

Les observations consolidées depuis mi-2025 décrivent plusieurs vagues visant des missions diplomatiques associées à l’UE et à l’OTAN, dans différents pays européens. Le schéma n’est pas un one shot, il s’inscrit dans la durée, avec des séquences de reconnaissance puis d’intrusion. Les campagnes alternent des emails destinés à mesurer l’engagement, puis des tentatives de dépôt de PlugX, une backdoor connue pour offrir un contrôle à distance.

Un exemple concret rapporté, des leurres par email autour de préoccupations humanitaires urgentes utilisés dès juillet 2025, typiques des campagnes qui cherchent à déclencher une réaction rapide. D’autres appâts mentionnés prennent la forme de demandes d’entretien ou de contenus politiques recopiés, ce qui permet de rester crédible dans un environnement diplomatique où les pièces jointes et notes de contexte circulent tous les jours. Les URL uniques par destinataire servent aussi à suivre qui clique, et quand.

Nuance importante, la réactivation en Europe intervient après environ deux ans de targeting plus discret sur la région. Ce retour ne prouve pas à lui seul une montée en puissance technique, mais il montre une priorisation claire des réseaux diplomatiques européens. Et si tu te dis nos passerelles mail filtrent tout, le groupe joue justement sur des étapes intermédiaires, web bugs, pages de validation, redirections, pour rendre la détection plus compliquée à l’entrée.

Microsoft Entra ID détourné via OAuth pour livrer des archives malveillantes

À partir de décembre 2025, des attaques ont exploité des applications cloud tierces liées à Microsoft Entra ID pour initier des redirections menant au téléchargement d’archives piégées. Le détail critique, l’email contient un lien vers un endpoint d’autorisation OAuth légitime de Microsoft. Tu cliques, tu vois un domaine de confiance au départ, puis tu te retrouves redirigé vers une infrastructure contrôlée par l’attaquant.

Ce type de chaîne est redoutable parce qu’elle brouille les signaux utilisés par les défenses classiques, réputation de domaine, inspection superficielle des liens, heuristiques sur les pages d’authentification. Microsoft a d’ailleurs signalé récemment des campagnes de phishing visant le secteur public en s’appuyant sur des mécanismes de redirection OAuth pour contourner des protections email et navigateur. Là, TA416 s’inscrit dans cette tendance, en industrialisant une marche légitime au début du parcours.

Critique à garder en tête, trop d’organisations traitent OAuth comme un sujet purement applicatif, géré par les équipes IAM, sans le relier aux risques de phishing. Or ici, la ruse repose sur une étape d’autorisation qui ressemble à une routine. Dans un ministère ou une représentation permanente, un agent peut se dire c’est Microsoft, donc c’est bon. C’est précisément cette confiance initiale qui rend la compromission plausible, même sans pièce jointe directe.

Cloudflare Turnstile et MSBuild servent à charger PlugX en mémoire

Entre septembre 2025 et janvier 2026, la chaîne d’infection a aussi abusé de fausses pages de défi Cloudflare Turnstile imitant des flux de connexion Microsoft. L’idée est simple, te faire croire à une étape anti-bot banale, puis enchaîner vers le téléchargement. Les chercheurs décrivent une évolution régulière de la chaîne, avec des ajustements fréquents du payload PlugX pour échapper aux détections.

Depuis février 2026, une autre variante mentionnée s’appuie sur des archives contenant un exécutable MSBuild renommé et des fichiers de projet C# malveillants. Ce montage sert de téléchargeur, puis mène à un trio classique, un exécutable signé, une DLL chargeur et une charge utile chiffrée, le tout pour finir par injecter PlugX en mémoire. On est sur des techniques qui visent à limiter les traces visibles et à compliquer l’analyse.

Enfin, l’extension des cibles vers le Moyen-Orient a été observée après le déclenchement du conflit États-Unis-Israël-Iran fin février 2026, avec des campagnes contre des entités diplomatiques et gouvernementales. Là, l’objectif évoqué est la collecte de renseignement liée au contexte régional. Pour les équipes européennes, ça donne un indicateur utile, quand l’actualité géopolitique s’emballe, les boîtes mail diplomatiques deviennent un terrain de chasse prioritaire, et TA416 adapte ses leurres au calendrier.

À retenir

  • TA416 cible des organisations gouvernementales et diplomatiques européennes depuis mi-2025.
  • Les attaques combinent phishing, redirections OAuth via Entra ID et livraison de la backdoor PlugX.
  • Le groupe fait évoluer sa chaîne d’infection, fausses pages Turnstile, archives MSBuild et projets C#.
  • Des campagnes similaires ont aussi visé des entités gouvernementales au Moyen-Orient début 2026.

Questions fréquentes

Qui est TA416 et quelles organisations sont visées ?
TA416 est un acteur de cyberespionnage lié à la Chine, associé à plusieurs appellations dans l’écosystème de suivi des menaces. Les campagnes décrites visent des organisations gouvernementales et diplomatiques, avec un ciblage notable de missions rattachées à l’Union européenne et à l’OTAN dans plusieurs pays européens.
Pourquoi l’abus d’OAuth complique la détection du phishing ?
Parce que le lien initial peut pointer vers un endpoint d’autorisation OAuth légitime, ce qui réduit la suspicion et peut contourner des contrôles basés sur la réputation des domaines. La redirection vers un domaine contrôlé par l’attaquant intervient après une étape qui ressemble à un flux normal d’authentification ou d’autorisation.
Quel rôle joue PlugX dans ces attaques ?
PlugX est une backdoor utilisée comme charge finale pour obtenir un accès à distance persistant. Les chaînes d’infection observées cherchent à charger PlugX de manière furtive, par exemple via des mécanismes de chargement de DLL et l’injection en mémoire, tout en actualisant régulièrement le payload pour limiter la détection.
À quoi servent les fausses pages Cloudflare Turnstile dans la chaîne d’infection ?
Elles servent de page intermédiaire crédible, présentée comme un défi anti-bot, et peuvent imiter des parcours de connexion. Cette étape aide à tromper l’utilisateur et à structurer une chaîne de redirections menant au téléchargement de contenus malveillants.

Sources

Tags
Afficher plus
Photo of Olivier Gouin

Olivier Gouin

Olivier occupe aujourd'hui la fonction de Coordonnateur Régional sur la Zone Ouest (défense) du Réseau des Experts Cyber Menaces de la Police Nationale - Le RECyM depend de l'Office Anti-Cybecriminalité (OFAC). Son parcours illustre une synergie unique entre les univers de la défense et du monde civil, du public comme du privé, dans des domaines de la haute technologique, de la sécurité de l'information, de l'industrie et du secteur des services, de la gestion des risques et des assurances. Son expertise s'étend également à la formation spécialisée, notamment auprès des Compagnies d'assurances, des Courtiers et des Agents Géneraux sur les risques liés au numerique et à la cybersécurité. Très présent dans le monde de l'innovation technologique et du numérique, il a accompagné des projets et des programmes dans les secteurs technologiques de pointes et dans un environnement dual. Il a été également co-fondateur du Clusir Bretagne

Articles similaires

Photo of Automates industriels perturbés, services critiques touchés après une cyberattaque iranienne aux États-Unis

Automates industriels perturbés, services critiques touchés après une cyberattaque iranienne aux États-Unis

avril 8, 2026
Photo of L’OFAC sanctionne un réseau nord-coréen d’emplois IT fictifs ayant généré près de 800 M$

L’OFAC sanctionne un réseau nord-coréen d’emplois IT fictifs ayant généré près de 800 M$

mars 19, 2026
Photo of 2 fronts, 72 h de piratages massifs, drones terroristes à 3 km, ce que la guerre asymétrique prépare pour l’Europe

2 fronts, 72 h de piratages massifs, drones terroristes à 3 km, ce que la guerre asymétrique prépare pour l’Europe

mars 15, 2026
Photo of Le groupe Handala passe au ransomware dans sa cyberguerre contre Israël

Le groupe Handala passe au ransomware dans sa cyberguerre contre Israël

mars 11, 2026

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page
Fermer