Il gruppo filo-cinese TA416 è tornato a colpire l’Europa nell’ultimo anno, prendendo di mira soprattutto le istituzioni.

TA416, noto gruppo cyber criminale filo-cinese è tornato a colpire in Europa, scegliendo di attendere la conclusione del 25° vertice UE-Cina, in un contesto geopolitico particolarmente delicato. La rinnovata attività del gruppo si è concentrata soprattutto su “individui e caselle e-mail legati a missioni diplomatiche e delegazioni presso NATO e Unione Europea“.

E non è un caso se proprio dall’anno scorso, “dopo anni di attività concentrate in altre aree del mondo“, l’attivismo di TA416 è di nuovo in crescita.

Tutto questo è emerso da uno studio di Proofpoint. Secondo l’analisi, l’impennata è coincisa con un periodo di crescenti tensioni tra Cina e Europa per i dazi, il conflitto russo-ucraino e le esportazioni di terre rare. Il gruppo è conosciuto anche con altri denominazioni tra cui Twill Typhoon e Mustang Panda.

Il nuovo fronte mediorientale

Parallelamente – almeno da marzo 2026 – gli hacker criminali hanno aperto un nuovo “fronte“, iniziando a colpire in Asia Occidentale. Questo, “in seguito allo scoppio del conflitto in Iran“. Si tratta di un cambiamento significativo, poiché in precedenza nessuno aveva mai osservato operazioni della stessa natura in quell’area.

Secondo Proofpoint, questa scelta ha riflettuto una tendenza più ampia. “Diversi attori con legami statali stanno spostando la propria attenzione verso governi e istituzioni diplomatiche mediorientali per raccogliere informazioni strategiche. Nello specifico, per comprendere l’evoluzione e le implicazioni geopolitiche del conflitto“.

Tecniche di attacco sempre più sofisticate

Con l’inizio della seconda fase del conflitto russo-ucraino, TA416 aveva colpito in Europa, attirando le attenzioni degli esperti. Dopo i primi attacchi, si era spostato verso il Sud-Est asiatico, Taiwan e Mongolia. “Nel nuovo ciclo di attacchi, ossia fino ai primi mesi del 2026“, scrive CyberScoop, “TA416 ha utilizzato una varietà di tecniche“. Tra queste:

• web bug per il tracciamento.
• Distribuzione di malware.
• Campagne di phishing mirate.

All’interno della lista degli inganni, sono emersi “scenari sensibili come un presunto invio di truppe europee in Groenlandia, richieste di interviste, proposte di collaborazione, comunicazioni su questioni umanitarie“. L’obiettivo finale è sempre stato quello di “installare una versione personalizzata della backdoor PlugX, sfruttando tecniche avanzate come il DLL sideloading“.

Un fenomeno più ampio

Lo studio di Proofpoint non è stato il primo sul “cyberspionaggio cinese“. Negli ultimi tempi si sono infatti moltiplicate le segnalazioni in materia. Tra queste, ci sono state una serie di campagne attraverso LinkedIn per contattare personale legato alla NATO e ad altre istituzioni europee.

Nel complesso, il quadro evidenzia “una crescente competizione informativa e strategica, in cui il cyberspazio rappresenta un campo di confronto sempre più centrale tra potenze globali“.

Vai al sito di Cybersecurity Italia.

L'articolo Cyberspionaggio, il gruppo filo-cinese TA416 torna a colpire in Europa sembra essere il primo su CyberSecurity Italia.