Un nuevo grupo de cibercrimen vinculado a China conocido como TA4922 ha ampliado su enfoque de orientación para dirigirse a organizaciones europeas en el Reino Unido, Alemania, Italia y Sudáfrica.
Estos esfuerzos se han complementado con un «ritmo operativo rápido» y un arsenal de malware en continua evolución que comprende familias conocidas como ValleyRAT (también conocido como Winos 4.0) y Atlas RAT (también conocido como AtlasCross RAT), así como herramientas no documentadas anteriormente llamadas RómuloCargador y Cargador de ejecución silenciosasegún Proofpoint.
La empresa de seguridad empresarial está vigilando la actividad bajo el nombre de TA4922, describiéndola como un actor de amenazas de habla china dirigida principalmente al este de Asia. Se considera que TA4922 comparte cierto nivel de superposición con Silver Fox, ya que el oficio del actor de amenazas se centra más en objetivos cibercriminales que en el espionaje.
«El actor probablemente esté motivado financieramente y enfocado en obtener acceso remoto a los entornos de las víctimas para obtener ganancias financieras, como robo de datos, fraude, reventa de acceso o acceso persistente», dijo la compañía. dichocaracterizándolo como un adversario que lleva a cabo «campañas más singulares» que cualquier otro actor de amenazas al que rastrea.
Sin embargo, en los últimos meses, los ataques organizados por el grupo de hackers se han basado en campañas de phishing que utilizan señuelos con temas empresariales y de recursos humanos para phishing de credenciales, fraude y entrega de malware, incluidos Atlas RAT, RomulusLoader y SilentRunLoader.
Otro cambio notable implica los intentos de trasladar conversaciones de correos electrónicos a canales de comunicación fuera de banda como LINE, WhatsApp y Microsoft Teams, lo que permite a los atacantes eludir los controles de seguridad empresariales y robar datos o distribuir malware. Los detalles de algunas de las campañas de phishing TA4922 observadas recientemente se encuentran a continuación:
- 6 de marzo de 2026: uso de señuelos relacionados con recursos humanos en ataques dirigidos a organizaciones japonesas para entregar Atlas RAT mediante carga lateral de DLL
- 23 de marzo de 2026: uso de señuelos con temas corporativos y de recursos humanos en ataques dirigidos a organizaciones japonesas para entregar un cargador basado en C llamado RomulusLoader mediante carga lateral de DLL
- 30 de marzo de 2026: uso de señuelos relacionados con las autoridades fiscales en ataques dirigidos a organizaciones en el Reino Unido para entregar un cargador y ladrón basado en Python con código de vibración llamado SilentRunLoader, que luego lanza un ejecutable para recopilar datos confidenciales de Google Chrome, incluidas las credenciales almacenadas, cookies e información de navegación.
- 2 de abril de 2026: uso de señuelos de comunicación de recursos humanos en ataques dirigidos a organizaciones en el Reino Unido y Alemania para entregar Atlas RAT mediante carga lateral de DLL
- 7 de abril de 2026: uso de señuelos relacionados con facturas en ataques dirigidos a organizaciones japonesas para entregar Atlas RAT mediante carga lateral de DLL
- 10 de abril de 2026: uso de señuelos con temas de beneficios y cumplimiento en ataques dirigidos a organizaciones en todo el sudeste asiático y el Reino Unido para entregar SilentRunLoader a través de carga lateral de DLL y exfiltrar datos de Chrome.
- Mediados de abril de 2026: uso de temas relacionados con negocios y impuestos en ataques dirigidos a organizaciones en Japón y Alemania para entregar RomulusLoader, que luego se usa para implementar AnyDesk y SyncFuture mediante carga lateral de DLL
«Si bien se considera que el actor tiene motivación financiera, las capacidades del malware incluyen el potencial de vigilancia, que podría ser utilizado o vendido a grupos de espionaje», dijo Proofpoint. «La naturaleza global de este actor muestra cómo las organizaciones deben ser conscientes de las amenazas emergentes y complejas, independientemente de su objetivo geográfico. Este tipo de actores pueden expandir y escalar rápidamente sus tácticas para incluir más objetivos en cualquier momento».
