Un nuevo grupo de cibercrimen vinculado a China conocido como TA4922 ha ampliado su objetivo para incluir organizaciones europeas en el Reino Unido, Alemania, Italia y Sudáfrica.
Según Proofpoint, estos esfuerzos se complementan con un «ritmo operativo rápido» y un arsenal de malware en continua evolución compuesto por familias conocidas como ValleyRAT (también conocido como Winos 4.0) y Atlas RAT (también conocido como AtlasCross RAT), así como herramientas previamente no documentadas llamadas RomulusLoader y SilentRunLoader.
La firma de seguridad empresarial está monitoreando la actividad, que se conoce con el nombre TA4922, y la describe como un actor de amenazas de habla china dirigido principalmente al este de Asia. Se ha evaluado que TA4922 tiene cierta superposición con Silver Fox, ya que el enfoque del actor de amenazas está más centrado en objetivos de cibercrimen que en espionaje.
«Es probable que este atacante esté motivado financieramente y se centre en obtener acceso remoto al entorno de la víctima para obtener ganancias financieras, incluido el robo de datos, el fraude, la reventa de acceso o el acceso permanente», dijo la compañía, caracterizando al atacante como llevando a cabo «una campaña más singular» que cualquier otro actor de amenaza que rastrea.
Sin embargo, en los últimos meses, los ataques lanzados por este grupo de hackers se han basado en campañas de phishing que utilizan recursos humanos y señuelos con temas empresariales, incluido el phishing de credenciales, estafas y distribución de malware como Atlas RAT, RomulusLoader y SilentRunLoader.
Otro cambio notable incluye intentos de trasladar conversaciones del correo electrónico a canales de comunicación fuera de banda como LINE, WhatsApp y Microsoft Teams, lo que permite a los atacantes eludir los controles de seguridad corporativos y robar datos o distribuir malware. A continuación se muestran algunos detalles de la campaña de phishing TA4922 observada recientemente.
6 de marzo de 2026: los ataques dirigidos a organizaciones japonesas utilizan señuelos relacionados con recursos humanos para entregar Atlas RAT a través de la descarga de DLL 23 de marzo de 2026: los ataques dirigidos a organizaciones japonesas utilizan señuelos corporativos y con temas de RR. un ladrón llamado SilentRunLoader lanza un ejecutable que recopila datos confidenciales, como credenciales guardadas, cookies e información de navegación de Google Chrome 2 de abril de 2026: los ataques dirigidos a organizaciones en el Reino Unido y Alemania utilizan comunicaciones de recursos humanos para entregar Atlas RAT a través de la descarga de DLL 7 de abril de 2026: los ataques dirigidos a organizaciones en Japón utilizan señuelos relacionados con facturas para entregar Atlas RAT a través de la descarga de DLL Octubre de 2026: ataques dirigidos a organizaciones en el sudeste asiático y el Reino Unido utilizar beneficios y señuelos con temas de cumplimiento para entregar Atlas RAT mediante descarga de DLL Se entregó SilentRunLoader mediante descarga para extraer datos de Chrome Mediados de abril de 2026: El ataque dirigido a organizaciones en Japón y Alemania utilizó temas relacionados con negocios y impuestos para entregar RomulusLoader. Luego se utiliza para implementar AnyDesk y SyncFuture mediante la descarga de DLL.
«Aunque se considera que los atacantes tienen motivaciones financieras, la funcionalidad del malware incluye potencial de vigilancia y podría ser utilizado o vendido a grupos de espionaje», dijo Proofpoint. «La naturaleza global de este actor de amenazas demuestra cómo las organizaciones deben ser conscientes de las amenazas nuevas y complejas, independientemente de su objetivo geográfico. Este tipo de actores de amenazas pueden expandirse y ampliar rápidamente sus tácticas para incluir más objetivos en cualquier momento».
Source link
