Un nuevo grupo de cibercrimen vinculado a China, conocido como **TA4922**, ha expandido significativamente su enfoque de objetivos, incluyendo ahora organizaciones europeas en el Reino Unido, Alemania, Italia y Sudáfrica. ### Rápido Ritmo Operacional y Malware en Evolución Según la empresa de seguridad empresarial **Proofpoint**, **TA4922** opera con un "rápido ritmo operacional" y evoluciona continuamente su arsenal de malware. Esto incluye familias conocidas como **ValleyRAT** (también conocido como Winos 4.0) y **Atlas RAT** (también conocido como AtlasCross RAT), junto con herramientas previamente indocumentadas llamadas **RomulusLoader** y **SilentRunLoader**. **Proofpoint** ha estado rastreando a **TA4922** como un actor de amenazas de habla china que apunta principalmente a Asia Oriental. Se evalúa que el grupo comparte cierta superposición con **Silver Fox**, aunque su "tradecraft" se inclina más hacia objetivos de ciberdelincuencia que hacia el espionaje tradicional. "Es probable que el actor esté motivado financieramente y enfocado en obtener acceso remoto a los entornos de las víctimas para obtener ganancias financieras, como robo de datos, fraude, reventa de acceso o acceso persistente", declaró **Proofpoint**, caracterizando a **TA4922** como un adversario que lleva a cabo "campañas más únicas" que cualquier otro actor de amenazas que rastrea. ### Sofisticado Phishing y Comunicación Fuera de Banda En los últimos meses, los ataques de **TA4922** han dependido cada vez más de campañas de phishing. Estas típicamente utilizan señuelos temáticos de recursos humanos y negocios para la recolección de credenciales, fraude y entrega de malware, incluyendo **Atlas RAT**, **RomulusLoader** y **SilentRunLoader**. Un cambio notable en sus tácticas implica mover las conversaciones del correo electrónico a canales de comunicación fuera de banda. Se aprovechan plataformas como **LINE**, **WhatsApp** y **Microsoft Teams**, lo que permite a los atacantes eludir los controles de seguridad empresariales y facilitar el robo de datos o la entrega de malware. ### Puntos Destacados de Campañas Recientes: * **6 de marzo de 2026:** Señuelos relacionados con recursos humanos apuntaron a organizaciones japonesas, entregando **Atlas RAT** a través de carga lateral de DLL. * **23 de marzo de 2026:** Se utilizaron señuelos temáticos corporativos y de recursos humanos contra organizaciones japonesas para entregar **RomulusLoader**, un cargador basado en C, a través de carga lateral de DLL. * **30 de marzo de 2026:** Señuelos relacionados con la autoridad tributaria apuntaron a organizaciones del Reino Unido, desplegando **SilentRunLoader**, un cargador y ladrón basado en Python. Esta herramienta luego deja un ejecutable para recolectar datos sensibles de **Google Chrome**, incluyendo credenciales almacenadas, cookies e información de navegación. * **2 de abril de 2026:** Señuelos de comunicación de recursos humanos apuntaron a organizaciones en el Reino Unido y Alemania, entregando **Atlas RAT** a través de carga lateral de DLL. * **7 de abril de 2026:** Señuelos relacionados con facturas se utilizaron en ataques contra organizaciones japonesas para entregar **Atlas RAT** a través de carga lateral de DLL. * **10 de abril de 2026:** Señuelos temáticos de beneficios y cumplimiento se desplegaron contra organizaciones en el Sudeste Asiático y el Reino Unido para entregar **SilentRunLoader** a través de carga lateral de DLL y exfiltrar datos de Chrome. * **Mediados de abril de 2026:** Temas de negocios y fiscales apuntaron a organizaciones en Japón y Alemania para entregar **RomulusLoader**, utilizado posteriormente para desplegar **AnyDesk** y **SyncFuture** a través de carga lateral de DLL. ### Implicaciones para la Seguridad Global Si bien se evalúa principalmente que **TA4922** está motivado financieramente, las capacidades de su malware sugieren un potencial para la vigilancia, que podría ser utilizada por o vendida a grupos de espionaje. **Proofpoint** advierte que la naturaleza global de este actor subraya la necesidad de que las organizaciones de todo el mundo permanezcan vigilantes contra amenazas emergentes y complejas, independientemente de su orientación geográfica actual. Dichos actores pueden expandir y escalar rápidamente sus tácticas para incluir más objetivos en cualquier momento.