Eine neue, China-nahe Cybercrime-Gruppe, bekannt als **TA4922**, hat ihren Zielbereich erheblich erweitert und umfasst nun europäische Organisationen im Vereinigten Königreich, Deutschland, Italien sowie in Südafrika. ### Hohes operatives Tempo und sich entwickelnde Malware Laut dem Unternehmen für Unternehmenssicherheit **Proofpoint** agiert **TA4922** mit einem "hohen operativen Tempo" und entwickelt sein Malware-Arsenal kontinuierlich weiter. Dies umfasst bekannte Familien wie **ValleyRAT** (auch bekannt als Winos 4.0) und **Atlas RAT** (auch bekannt als AtlasCross RAT) sowie bisher unbekannte Tools namens **RomulusLoader** und **SilentRunLoader**. **Proofpoint** verfolgt **TA4922** als chinesischsprachigen Akteur, der hauptsächlich Ostasien ins Visier nimmt. Die Gruppe teilt vermutlich einige Überschneidungen mit **Silver Fox**, obwohl ihre Vorgehensweise stärker auf Cybercrime-Ziele ausgerichtet ist als auf traditionelle Spionage. "Der Akteur ist wahrscheinlich finanziell motiviert und konzentriert sich darauf, Fernzugriff auf die Umgebungen der Opfer zu erlangen, um finanzielle Vorteile zu erzielen, wie z. B. Datendiebstahl, Betrug, Weiterverkauf von Zugriffen oder persistenter Zugriff", erklärte **Proofpoint** und charakterisierte **TA4922** als einen Gegner, der "einzigartigere Kampagnen" durchführt als jeder andere von ihnen verfolgte Bedrohungsakteur. ### Ausgeklügeltes Phishing und Out-of-Band-Kommunikation In den letzten Monaten haben die Angriffe von **TA4922** zunehmend auf Phishing-Kampagnen gesetzt. Diese verwenden typischerweise Lockmittel aus den Bereichen Personalwesen und Wirtschaft für das Ernten von Anmeldedaten, Betrug und die Bereitstellung von Malware, einschließlich **Atlas RAT**, **RomulusLoader** und **SilentRunLoader**. Eine bemerkenswerte Veränderung ihrer Taktiken ist die Verlagerung von Gesprächen von E-Mails auf Out-of-Band-Kommunikationskanäle. Plattformen wie **LINE**, **WhatsApp** und **Microsoft Teams** werden genutzt, um es Angreifern zu ermöglichen, Unternehmenssicherheitskontrollen zu umgehen und Datendiebstahl oder die Bereitstellung von Malware zu erleichtern. ### Aktuelle Kampagnen-Highlights: * **6. März 2026:** Lockmittel im Zusammenhang mit Personalwesen zielten auf japanische Organisationen ab und lieferten **Atlas RAT** über DLL-Side-Loading. * **23. März 2026:** Lockmittel mit Bezug auf Unternehmen und Personalwesen wurden gegen japanische Organisationen eingesetzt, um **RomulusLoader**, einen C-basierten Loader, über DLL-Side-Loading zu liefern. * **30. März 2026:** Lockmittel im Zusammenhang mit Steuerbehörden zielten auf Organisationen im Vereinigten Königreich ab und setzten **SilentRunLoader**, einen Python-basierten Loader und Stealer, ein. Dieses Tool lädt dann eine ausführbare Datei herunter, um sensible Daten aus **Google Chrome** zu stehlen, einschließlich gespeicherter Anmeldedaten, Cookies und Browserinformationen. * **2. April 2026:** Lockmittel für die Kommunikation im Personalwesen zielten auf Organisationen im Vereinigten Königreich und Deutschland ab und lieferten **Atlas RAT** über DLL-Side-Loading. * **7. April 2026:** Lockmittel im Zusammenhang mit Rechnungen wurden bei Angriffen gegen japanische Organisationen eingesetzt, um **Atlas RAT** über DLL-Side-Loading zu liefern. * **10. April 2026:** Lockmittel mit Bezug auf Sozialleistungen und Compliance wurden gegen Organisationen in Südostasien und im Vereinigten Königreich eingesetzt, um **SilentRunLoader** über DLL-Side-Loading zu liefern und Chrome-Daten zu exfiltrieren. * **Mitte April 2026:** Themen wie Wirtschaft und Steuern zielten auf Organisationen in Japan und Deutschland ab, um **RomulusLoader** zu liefern, der anschließend zum Bereitstellen von **AnyDesk** und **SyncFuture** über DLL-Side-Loading verwendet wurde. ### Auswirkungen auf die globale Sicherheit Obwohl **TA4922** primär als finanziell motiviert eingeschätzt wird, deuten die Fähigkeiten seiner Malware auf ein Potenzial für Überwachung hin, das von Spionagegruppen genutzt oder an diese verkauft werden könnte. **Proofpoint** warnt, dass die globale Natur dieses Akteurs die Notwendigkeit unterstreicht, dass Organisationen weltweit wachsam gegenüber aufkommenden und komplexen Bedrohungen bleiben, unabhängig von ihrem aktuellen geografischen Fokus. Solche Akteure können ihre Taktiken schnell erweitern und skalieren, um jederzeit mehr Ziele einzubeziehen.