Un nouveau groupe de cybercriminalité lié à la Chine, connu sous le nom de **TA4922**, a considérablement élargi son champ de ciblage, incluant désormais des organisations européennes au Royaume-Uni, en Allemagne, en Italie et en Afrique du Sud. ### Rythme opérationnel rapide et malware évolutif Selon la société de sécurité d'entreprise **Proofpoint**, **TA4922** opère avec un "rythme opérationnel rapide" et fait évoluer continuellement son arsenal de malware. Cela inclut des familles connues telles que **ValleyRAT** (également connu sous le nom de Winos 4.0) et **Atlas RAT** (également connu sous le nom d'AtlasCross RAT), aux côtés d'outils précédemment non documentés nommés **RomulusLoader** et **SilentRunLoader**. **Proofpoint** suit **TA4922** en tant qu'acteur malveillant sinophone ciblant principalement l'Asie de l'Est. Le groupe est évalué comme partageant certains recoupements avec **Silver Fox**, bien que son savoir-faire penche davantage vers des objectifs cybercriminels plutôt que de l'espionnage traditionnel. "L'acteur est probablement motivé financièrement et se concentre sur l'obtention d'un accès à distance aux environnements des victimes à des fins lucratives, telles que le vol de données, la fraude, la revente d'accès ou un accès persistant", a déclaré **Proofpoint**, qualifiant **TA4922** d'adversaire menant des "campagnes plus uniques" que tout autre acteur malveillant qu'elle suit. ### Phishing sophistiqué et communication hors bande Ces derniers mois, les attaques de **TA4922** se sont de plus en plus appuyées sur des campagnes de phishing. Celles-ci utilisent généralement des leurres liés aux ressources humaines et aux affaires pour la récolte d'identifiants, la fraude et la livraison de malware, y compris **Atlas RAT**, **RomulusLoader** et **SilentRunLoader**. Un changement notable dans leurs tactiques implique le déplacement des conversations de l'e-mail vers des canaux de communication hors bande. Des plateformes comme **LINE**, **WhatsApp** et **Microsoft Teams** sont utilisées, permettant aux attaquants de contourner les contrôles de sécurité d'entreprise et de faciliter le vol de données ou la livraison de malware. ### Points forts des campagnes récentes : * **6 mars 2026** : Des leurres liés aux ressources humaines ont ciblé des organisations japonaises, livrant **Atlas RAT** via un chargement latéral de DLL. * **23 mars 2026** : Des leurres thématiques sur les affaires et les ressources humaines ont été utilisés contre des organisations japonaises pour livrer **RomulusLoader**, un chargeur écrit en C, via un chargement latéral de DLL. * **30 mars 2026** : Des leurres liés à l'administration fiscale ont ciblé des organisations britanniques, déployant **SilentRunLoader**, un chargeur et voleur basé sur Python. Cet outil dépose ensuite un exécutable pour collecter des données sensibles de **Google Chrome**, y compris les identifiants stockés, les cookies et les informations de navigation. * **2 avril 2026** : Des leurres de communication RH ont ciblé des organisations au Royaume-Uni et en Allemagne, livrant **Atlas RAT** via un chargement latéral de DLL. * **7 avril 2026** : Des leurres liés aux factures ont été utilisés dans des attaques contre des organisations japonaises pour livrer **Atlas RAT** via un chargement latéral de DLL. * **10 avril 2026** : Des leurres thématiques sur les avantages sociaux et la conformité ont été déployés contre des organisations en Asie du Sud-Est et au Royaume-Uni pour livrer **SilentRunLoader** via un chargement latéral de DLL et exfiltrer des données de Chrome. * **Mi-avril 2026** : Des thèmes liés aux affaires et à la fiscalité ont ciblé des organisations au Japon et en Allemagne pour livrer **RomulusLoader**, utilisé ensuite pour déployer **AnyDesk** et **SyncFuture** via un chargement latéral de DLL. ### Implications pour la sécurité mondiale Bien que **TA4922** soit principalement considéré comme motivé financièrement, les capacités de son malware suggèrent un potentiel de surveillance, qui pourrait être utilisé par ou vendu à des groupes d'espionnage. **Proofpoint** avertit que la nature mondiale de cet acteur souligne la nécessité pour les organisations du monde entier de rester vigilantes face aux menaces émergentes et complexes, quelle que soit leur cible géographique actuelle. De tels acteurs peuvent rapidement étendre et adapter leurs tactiques pour inclure davantage de cibles à tout moment.