Một nhóm tội phạm mạng mới liên quan đến Trung Quốc có tên là TA4922 đã mở rộng phạm vi nhắm mục tiêu sang các tổ chức châu Âu tại Anh, Đức, Ý và Nam Phi.
Những nỗ lực này đi kèm với "nhịp độ hoạt động nhanh" và kho vũ khí mã độc liên tục phát triển bao gồm các dòng đã biết như ValleyRAT (còn gọi là Winos 4.0) và Atlas RAT (còn gọi là AtlasCross RAT), cũng như các công cụ chưa từng được ghi nhận trước đây là RomulusLoader và SilentRunLoader, theo Proofpoint.
Công ty an ninh mạng doanh nghiệp này đang theo dõi hoạt động dưới định danh TA4922, mô tả đây là một tác nhân đe dọa nói tiếng Trung chủ yếu nhắm vào Đông Á. TA4922 được đánh giá là có một số điểm tương đồng với Silver Fox, nhưng kỹ thuật tấn công của nhóm này tập trung nhiều hơn vào các mục tiêu tội phạm mạng thay vì gián điệp.
"Tác nhân này có khả năng bị thúc đẩy bởi động cơ tài chính và tập trung vào việc giành quyền truy cập từ xa vào môi trường của nạn nhân để trục lợi, chẳng hạn như trộm cắp dữ liệu, gian lận, bán lại quyền truy cập hoặc duy trì quyền truy cập lâu dài," công ty cho biết, đồng thời mô tả đây là một đối thủ thực hiện "nhiều chiến dịch độc đáo" hơn bất kỳ tác nhân đe dọa nào khác mà họ từng theo dõi.
Tuy nhiên, trong những tháng gần đây, các cuộc tấn công do nhóm hacker này thực hiện đã dựa trên các chiến dịch phishing sử dụng mồi nhử liên quan đến nhân sự và doanh nghiệp để đánh cắp thông tin xác thực, gian lận và phát tán mã độc, bao gồm Atlas RAT, RomulusLoader và SilentRunLoader.
Một thay đổi đáng chú ý khác liên quan đến nỗ lực chuyển các cuộc hội thoại từ email sang các kênh liên lạc ngoài luồng (out-of-band) như LINE, WhatsApp và Microsoft Teams, cho phép những kẻ tấn công bỏ qua các biện pháp kiểm soát an ninh của doanh nghiệp để đánh cắp dữ liệu hoặc phát tán mã độc. Chi tiết về một số chiến dịch phishing TA4922 được quan sát gần đây bao gồm:
- Ngày 6 tháng 3 năm 2026: Sử dụng mồi nhử liên quan đến nhân sự trong các cuộc tấn công nhắm vào các tổ chức Nhật Bản để phát tán Atlas RAT thông qua kỹ thuật DLL side-loading.
- Ngày 23 tháng 3 năm 2026: Sử dụng mồi nhử chủ đề doanh nghiệp và nhân sự nhắm vào các tổ chức Nhật Bản để phát tán một loader viết bằng ngôn ngữ C có tên RomulusLoader qua DLL side-loading.
- Ngày 30 tháng 3 năm 2026: Sử dụng mồi nhử liên quan đến cơ quan thuế nhắm vào các tổ chức tại Anh để phát tán SilentRunLoader - một loader và stealer viết bằng Python, sau đó thả một tệp thực thi để thu thập dữ liệu nhạy cảm từ Google Chrome bao gồm thông tin xác thực đã lưu, cookie và lịch sử duyệt web.
- Ngày 2 tháng 4 năm 2026: Sử dụng mồi nhử liên lạc nhân sự nhắm vào các tổ chức tại Anh và Đức để phát tán Atlas RAT qua DLL side-loading.
- Ngày 7 tháng 4 năm 2026: Sử dụng mồi nhử liên quan đến hóa đơn nhắm vào các tổ chức Nhật Bản để phát tán Atlas RAT qua DLL side-loading.
- Ngày 10 tháng 4 năm 2026: Sử dụng mồi nhử chủ đề phúc lợi và tuân thủ nhắm vào các tổ chức khắp Đông Nam Á và Anh để phát tán SilentRunLoader qua DLL side-loading và đánh cắp dữ liệu Chrome.
- Giữa tháng 4 năm 2026: Sử dụng các chủ đề liên quan đến kinh doanh và thuế nhắm vào các tổ chức ở Nhật Bản và Đức để phát tán RomulusLoader, sau đó được sử dụng để triển khai AnyDesk và SyncFuture qua DLL side-loading.
"Mặc dù tác nhân này được đánh giá là có động cơ tài chính, nhưng khả năng của mã độc bao gồm cả tiềm năng giám sát, vốn có thể được sử dụng bởi hoặc bán lại cho các nhóm gián điệp," Proofpoint cho biết. "Bản chất toàn cầu của tác nhân này cho thấy các tổ chức nên cảnh giác với các mối đe dọa mới nổi và phức tạp, bất kể vị trí địa lý. Những loại tác nhân này có thể nhanh chóng mở rộng và quy mô hóa các chiến thuật của chúng để nhắm tới nhiều mục tiêu hơn bất cứ lúc nào."