中国関連のTA4922、進化するマルウェアでサイバー犯罪活動をグローバルに拡大

新たな中国関連のサイバー犯罪グループ「**TA4922**」が、英国、ドイツ、イタリアなどの欧州組織や南アフリカを標的として、その活動を急速に拡大しています。この金銭目的の攻撃者は、新たに発見された**RomulusLoader**や**SilentRunLoader**といったツールに加え、**ValleyRAT**や**Atlas RAT**などの既存の脅威を含む、洗練されたフィッシングキャンペーンと多様なマルウェアを駆使しています。

2026-06-06T13:44:54 中国関連のTA4922、進化するマルウェアでサイバー犯罪活動をグローバルに拡大

![Phishing Hook](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhq_JkP80d1IA8rz-SoYEBmuGqK_K7OpGrqiki4vB1ShMW5mFBVSMvl8H5MnYylZMl3AWeqdAmp19oZIL_7amYErNxBGiUAJqrOqGO0zjHH2jxCKCNdiGH_nqjHkksD9dlu4QGCq9KzMRfnWAi7YnPQQ86pnCypNupFDn_h-hSJdfhWT0Y4s01w6Cw-s6Od/s1600/phishing-hook.jpg) **TA4922**として知られる新たな中国関連のサイバー犯罪グループが、標的を英国、ドイツ、イタリアの欧州組織や南アフリカにまで大幅に拡大しました。 ### 迅速な活動ペースと進化するマルウェアエンタープライズセキュリティ企業である**Proofpoint**によると、**TA4922**は「迅速なオペレーションテンポ」で活動し、マルウェアのラインナップを継続的に進化させています。これには、**ValleyRAT**（別名Winos 4.0）や**Atlas RAT**（別名AtlasCross RAT）といった既知のファミリーに加え、これまで文書化されていなかった**RomulusLoader**および**SilentRunLoader**という新しいツールが含まれています。 **Proofpoint**は、**TA4922**を主に東アジアを標的とする中国語話者の脅威アクターとして追跡してきました。このグループは**Silver Fox**と一部重複していると評価されていますが、その手口は従来の諜報活動よりもサイバー犯罪的な目的に傾倒しています。「この攻撃者は金銭的な動機があり、データ窃盗、詐欺、アクセス権の転売、あるいは永続的なアクセスといった金銭的利益を得るために、被害者の環境へのリモートアクセスを確保することに重点を置いている可能性が高い」と**Proofpoint**は述べており、**TA4922**を同社が追跡する他のどの脅威アクターよりも「ユニークなキャンペーン」を実行する敵対者として特徴づけています。 ### 洗練されたフィッシングと帯域外コミュニケーション最近の数ヶ月間、**TA4922**の攻撃はフィッシングキャンペーンへの依存度を高めています。これらは通常、人事やビジネス関連の件名を使用し、認証情報収集、詐欺、そして**Atlas RAT**、**RomulusLoader**、**SilentRunLoader**などのマルウェア配信に利用されます。彼らの戦術における注目すべき変化は、電子メールから帯域外（out-of-band）コミュニケーションチャネルへと会話を移行させることです。**LINE**、**WhatsApp**、**Microsoft Teams**などのプラットフォームが活用され、攻撃者はエンタープライズセキュリティ制御を回避し、データ窃盗やマルウェア配信を容易にすることができます。 ### 最近のキャンペーンのハイライト： * **2026年3月6日:** 人事関連の件名が日本の組織を標的とし、DLLサイドローディングを介して**Atlas RAT**を配信しました。 * **2026年3月23日:** 法人および人事関連の件名が日本の組織に対して使用され、DLLサイドローディングを介してCベースのローダーである**RomulusLoader**を配信しました。 * **2026年3月30日:** 税務当局関連の件名が英国の組織を標的とし、Pythonベースのローダー兼ステイラーである**SilentRunLoader**を展開しました。このツールはその後、保存された認証情報、Cookie、閲覧情報を含む**Google Chrome**から機密データを収集するための実行可能ファイルをドロップします。 * **2026年4月2日:** 人事コミュニケーション関連の件名が英国とドイツの組織を標的とし、DLLサイドローディングを介して**Atlas RAT**を配信しました。 * **2026年4月7日:** 請求書関連の件名が日本の組織に対する攻撃で使用され、DLLサイドローディングを介して**Atlas RAT**を配信しました。 * **2026年4月10日:** 利益とコンプライアンス関連の件名が東南アジアと英国の組織に対して展開され、DLLサイドローディングを介して**SilentRunLoader**を配信し、Chromeデータを抜き取りました。 * **2026年4月中旬:** ビジネスおよび税務関連のテーマが日本とドイツの組織を標的とし、**RomulusLoader**を配信しました。その後、**AnyDesk**と**SyncFuture**がDLLサイドローディングを介して展開されました。 ### グローバルセキュリティへの影響 **TA4922**は主に金銭的な動機があると評価されていますが、そのマルウェアの能力は監視の可能性を示唆しており、これは諜報グループによって利用されたり、販売されたりする可能性があります。**Proofpoint**は、このアクターのグローバルな性質が、地理的な標的とは無関係に、世界中の組織が新興かつ複雑な脅威に対して警戒を怠らない必要性を強調していると警告しています。このようなアクターは、いつでも戦術を急速に拡大し、より多くの標的を含めることができます。

📡 Intelligence Feed

中国関連のTA4922、進化するマルウェアでサイバー犯罪活動をグローバルに拡大

✏️ Edit Article