Grupo chinês retoma ações de ciberespionagem contra governos europeus

Um grupo de ciberespionagem associado ao Estado chinês retomou as suas operações contra alvos europeus, após um período de menor atividade desde 2023. De acordo com investigadores da Proofpoint, o grupo identificado como TA416, também conhecido como Mustang Panda, lançou uma nova vaga de campanhas direcionadas a entidades governamentais e diplomáticas na Europa.

A atividade foi detetada a partir de meados de 2025 e prolongou-se até ao início de 2026, tendo como principais alvos missões diplomáticas da União Europeia e da NATO em vários países europeus.

Segundo o relatório, o grupo recorreu a campanhas de espionagem que combinam técnicas de reconhecimento e distribuição de malware, com o objetivo de comprometer sistemas e recolher informação sensível.

Uma das abordagens utilizadas passa pelo envio de emails com “web bugs”, pequenos elementos invisíveis que permitem aos atacantes confirmar se a mensagem foi aberta e recolher dados como o endereço IP e o momento de acesso.

Em paralelo, o grupo lançou campanhas mais avançadas de distribuição de malware, utilizando contas de email comprometidas e serviços legítimos como Microsoft Azure, Google Drive e SharePoint para alojar ficheiros maliciosos. Os investigadores destacam que o TA416 tem vindo a adaptar constantemente as suas técnicas de infeção, alterando as cadeias de ataque para evitar deteção.

Entre os métodos mais recentes estão o uso de páginas falsas do Cloudflare Turnstile, o abuso de aplicações de terceiros no Microsoft Entra ID e a distribuição de ficheiros maliciosos.

Independentemente da técnica inicial, o objetivo mantém-se consistente e passa por instalar o backdoor PlugX, uma ferramenta amplamente utilizada em operações de ciberespionagem para controlo remoto de sistemas comprometidos. O grupo tem vindo a alterar repetidamente os métodos de infeção, mantendo como objetivo final a instalação do malware PlugX através de técnicas como DLL sideloading.

Em março de 2026, após o início do conflito no Irão, o grupo alargou ainda o seu foco a entidades governamentais e diplomáticas no Médio Oriente, demonstrando uma adaptação rápida ao contexto geopolítico.

O TA416 é um dos vários clusters associados ao Mustang Panda, um grupo ativo desde, pelo menos, 2012 e conhecido por visar governos, organizações não governamentais e instituições de investigação em várias regiões do mundo.

Os investigadores apontam também possíveis ligações a outros grupos com atividade semelhante, embora a natureza dessa relação ainda não esteja totalmente esclarecida.

Ao nível da infraestrutura, o grupo utiliza frequentemente domínios recentemente registados, servidores privados virtuais e redes de distribuição de conteúdos (CDN) para ocultar a origem dos ataques e contornar mecanismos de deteção.

A utilização de serviços legítimos e infraestruturas aparentemente confiáveis permite aos atacantes aumentar a taxa de sucesso das campanhas, dificultando a identificação das ameaças.

Este regresso à atividade reforça a persistência das operações de ciberespionagem patrocinadas por Estados e a crescente sofisticação das técnicas utilizadas para comprometer organizações governamentais e diplomáticas.