China-georiënteerde dreigingsactor doelt op economische betrekkingen tussen VS en China

In juli en augustus 2025 voerde TA415 spearphishingcampagnes uit, gericht op Amerikaanse overheids-, denktank- en academische organisaties. Hierbij werd gebruik gemaakt van economische lokmiddelen tussen de Verenigde Staten en China. Bij deze activiteit vermomde de groep zich als de huidige voorzitter van de selecte commissie voor strategische concurrentie tussen de VS en de Chinese Communistische Partij (CCP). Ook deden zij zich voor als de bedrijfsraad tussen de VS en China, om zich te richten op een reeks individuen en organisaties. Deze zijn voornamelijk gericht op betrekkingen tussen de VS en China, handel en economisch beleid.

De TA415-phishingcampagnes leverden een infectieketen op die een Visual Studio (VS) Code Remote Tunnel tot stand probeert te brengen. Hierdoor krijgen dreigingsactoren blijvende externe toegang zonder het gebruik van traditionele malware. Recente TA415-phishingoperaties hebben consequent legitieme services gebruikt voor command and control (C2), waaronder Google Sheets, Google Calendar en VS Code Remote Tunnels. TA415 doet dit waarschijnlijk om op te gaan in bestaand legitiem verkeer naar deze vertrouwde services.

Deze TA415-activiteit vindt plaats tijdens lopende onderhandelingen en onzekerheid over de toekomst van de economische en handelsbetrekkingen tussen de VS en China. Proofpoint stelt dat een primair doel van deze campagnes het verzamelen van inlichtingen is over het traject van de economische banden tussen de VS en China. Deze activiteit sluit aan bij recente rapportage van de Wall Street Journal.

TA415 is een door de Chinese staat gesponsorde dreigingsactor die in 2020 door de Amerikaanse regering is aangeklaagd. Het overlapt met dreigingsactiviteit die door derden, zoals APT41, Brass Typhoon en Wicked Panda, wordt gevolgd.

De belangrijkste inzichten:

• Geavanceerde imitatie: TA415 spoofde de bedrijfsraad tussen de VS en China en een senior congresleider. Zo leverde de dreigingsactor spearphishing-lokmiddelen die verband houden met handels- en sanctiebeleid.
• Nieuwe aanvalsmethode: in plaats van traditionele malware, implementeerden de campagnes ‘VS Code Remote Tunnels’. Dit zijn legitieme developmenttools die misbruikt worden om persistente externe toegang tot stand te brengen.
• Evoluerende tactieken: dit laat een tactische verschuiving zien, weg van eerdere malware zoals de ‘Voldemort’-backdoor, wat het aanpassingsvermogen van de groep aantoont.
• Geopolitieke focus: Proofpoint stelt dat een primair doel van deze campagnes het verzamelen van inlichtingen is over het traject van de economische banden tussen de VS en China.

Vaak worden analytische vragen gesteld na verschuivingen van de gevestigde doelwitten van staatsgebonden dreigingsactoren, zeker binnen het phishing-dreigingslandschap. De precieze drijfveren achter deze veranderingen zijn vaak onduidelijk. Toch suggereren ze evoluerende taakvereisten en verschuivende prioriteiten die worden gevormd door bredere geopolitieke ontwikkelingen. In dit geval komen veel van de doelwitorganisaties overeen met bekende Chinese inlichtingenverzamelingsprioriteiten. De voortdurende complexe ontwikkeling van de economische en buitenlandse beleidsrelaties tussen China en de VS, maakt de timing van TA415’s verschuiving naar deze doelen erg opmerkelijk.

Klik hier voor het volledige threat research.