Een nieuwe aan China gelieerde cybercriminaliteitsgroep, bekend als TA4922 heeft zijn targetingfocus uitgebreid naar Europese organisaties in Groot-Brittannië, Duitsland, Italië en Zuid-Afrika.
Deze inspanningen zijn aangevuld met een “snel operationeel tempo” en een voortdurend evoluerend malware-arsenaal bestaande uit bekende families zoals ValleyRAT (ook bekend als Winos 4.0) en Atlas RAT (ook bekend als AtlasCross RAT), evenals voorheen ongedocumenteerde tools genaamd RomulusLoader En SilentRunLoaderaldus Proofpoint.
Het bedrijfsbeveiligingsbedrijf houdt de activiteit in de gaten onder de naam TA4922 en beschrijft het als een Chineessprekende bedreigingsacteur die zich grotendeels richt op Oost-Azië. Er wordt aangenomen dat TA4922 een zekere mate van overlap vertoont met Silver Fox, waarbij het vakmanschap van de dreigingsactor meer gericht is op cybercriminele doelstellingen dan op spionage.
“De actor is waarschijnlijk financieel gemotiveerd en gefocust op het verkrijgen van externe toegang tot slachtofferomgevingen voor financieel gewin, zoals gegevensdiefstal, fraude, wederverkoop van toegang of permanente toegang”, aldus het bedrijf, dat het karakteriseert als een tegenstander die “meer unieke campagnes” voert dan welke andere bedreigingsactoren het ook volgt.
De afgelopen maanden waren de aanvallen van de hackgroep echter afhankelijk van phishing-campagnes waarbij gebruik werd gemaakt van lokmiddelen met personeels- en bedrijfsthema’s voor phishing, fraude en het leveren van malware, waaronder Atlas RAT, RomulusLoader en SilentRunLoader.
Een andere opmerkelijke verschuiving betreft pogingen om gesprekken van e-mails naar out-of-band communicatiekanalen zoals LINE, WhatsApp en Microsoft Teams te verplaatsen, waardoor de aanvallers de beveiligingscontroles van het bedrijf kunnen omzeilen en gegevens kunnen stelen of malware kunnen afleveren. Details van enkele van de onlangs waargenomen TA4922-phishingcampagnes vindt u hieronder:
- 6 maart 2026: Gebruik van human resources-gerelateerde lokmiddelen bij aanvallen gericht op Japanse organisaties om Atlas RAT te leveren via side-loading van DLL
- 23 maart 2026: Gebruik van kunstaas met bedrijfs- en personeelsthema’s bij aanvallen gericht op Japanse organisaties om een op C gebaseerde lader te leveren genaamd RomulusLoader via side-loading van DLL
- 30 maart 2026: Gebruik van belastingdienstgerelateerd kunstaas bij aanvallen gericht op organisaties in het Verenigd Koninkrijk om een op Python gebaseerde lader en stealer met vibe-code te leveren, genaamd SilentRunLoader, die vervolgens een uitvoerbaar bestand neerzet om gevoelige gegevens uit Google Chrome te verzamelen, waaronder opgeslagen inloggegevens, cookies en browserinformatie
- 2 april 2026: Gebruik van human resources-communicatie bij aanvallen gericht op organisaties in het Verenigd Koninkrijk en Duitsland om Atlas RAT te leveren via side-loading van DLL
- 7 april 2026: Gebruik van factuurgerelateerde lokmiddelen bij aanvallen gericht op Japanse organisaties om Atlas RAT te leveren via side-loading van DLL
- 10 april 2026: Gebruik van voordelen- en compliance-thema’s bij aanvallen gericht op organisaties in Zuidoost-Azië en het Verenigd Koninkrijk om SilentRunLoader via DLL-side-loading te leveren en Chrome-gegevens te exfiltreren
- Midden april 2026: gebruik van bedrijfs- en belastinggerelateerde thema’s bij aanvallen gericht op organisaties in Japan en Duitsland om RomulusLoader te leveren, die vervolgens wordt gebruikt om AnyDesk en SyncFuture te implementeren via side-loading van DLL
“Hoewel de acteur wordt beoordeeld als financieel gemotiveerd, omvatten de mogelijkheden van de malware ook het potentieel voor surveillance, die zou kunnen worden gebruikt door of verkocht aan spionagegroepen”, aldus Proofpoint. “Het mondiale karakter van deze actor laat zien hoe organisaties zich bewust moeten zijn van opkomende en complexe bedreigingen, ongeacht hun geografische doelwitten. Dit soort actoren kunnen hun tactieken snel uitbreiden en opschalen om op elk moment meer doelwitten te omvatten.”
