Um novo grupo de cibercrime ligado à China, conhecido como **TA4922**, expandiu significativamente seu foco de alvos, agora incluindo organizações europeias no Reino Unido, Alemanha, Itália e África do Sul. ### Rápido Ritmo Operacional e Malware em Evolução De acordo com a empresa de segurança corporativa **Proofpoint**, o **TA4922** opera com um "rápido ritmo operacional" e evolui continuamente seu arsenal de malware. Isso inclui famílias conhecidas como **ValleyRAT** (também conhecido como Winos 4.0) e **Atlas RAT** (também conhecido como AtlasCross RAT), juntamente com ferramentas anteriormente indocumentadas chamadas **RomulusLoader** e **SilentRunLoader**. A **Proofpoint** tem monitorado o **TA4922** como um ator de ameaças falante de chinês que visa principalmente o Leste Asiático. Avalia-se que o grupo compartilhe alguma sobreposição com o **Silver Fox**, embora seu *tradecraft* se incline mais para objetivos de cibercrime do que para espionagem tradicional. "O ator é provavelmente motivado financeiramente e focado em obter acesso remoto aos ambientes das vítimas para ganho financeiro, como roubo de dados, fraude, revenda de acesso ou acesso persistente", afirmou a **Proofpoint**, caracterizando o **TA4922** como um adversário que realiza "campanhas mais únicas" do que qualquer outro ator de ameaças que monitora. ### Phishing Sofisticado e Comunicação Fora de Banda Nos últimos meses, os ataques do **TA4922** têm dependido cada vez mais de campanhas de phishing. Estas tipicamente usam iscas com temas de recursos humanos e negócios para coleta de credenciais, fraude e entrega de malware, incluindo **Atlas RAT**, **RomulusLoader** e **SilentRunLoader**. Uma mudança notável em suas táticas envolve a migração de conversas de e-mail para canais de comunicação fora de banda. Plataformas como **LINE**, **WhatsApp** e **Microsoft Teams** são utilizadas, permitindo que os atacadores contornem os controles de segurança corporativa e facilitem o roubo de dados ou a entrega de malware. ### Destaques de Campanhas Recentes: * **6 de março de 2026:** Iscas relacionadas a recursos humanos visaram organizações japonesas, entregando **Atlas RAT** via *DLL side-loading*. * **23 de março de 2026:** Iscas com temas corporativos e de recursos humanos foram usadas contra organizações japonesas para entregar **RomulusLoader**, um *loader* escrito em C, via *DLL side-loading*. * **30 de março de 2026:** Iscas relacionadas à autoridade fiscal visaram organizações do Reino Unido, implantando **SilentRunLoader**, um *loader* e *stealer* baseado em Python. Esta ferramenta então baixa um executável para coletar dados sensíveis do **Google Chrome**, incluindo credenciais armazenadas, cookies e informações de navegação. * **2 de abril de 2026:** Iscas de comunicação de recursos humanos visaram organizações no Reino Unido e na Alemanha, entregando **Atlas RAT** via *DLL side-loading*. * **7 de abril de 2026:** Iscas relacionadas a faturas foram usadas em ataques contra organizações japonesas para entregar **Atlas RAT** via *DLL side-loading*. * **10 de abril de 2026:** Iscas com temas de benefícios e conformidade foram implantadas contra organizações no Sudeste Asiático e no Reino Unido para entregar **SilentRunLoader** via *DLL side-loading* e exfiltrar dados do Chrome. * **Meados de abril de 2026:** Temas de negócios e impostos visaram organizações no Japão e na Alemanha para entregar **RomulusLoader**, subsequentemente usado para implantar **AnyDesk** e **SyncFuture** via *DLL side-loading*. ### Implicações para a Segurança Global Embora o **TA4922** seja primariamente avaliado como motivado financeiramente, as capacidades de seu malware sugerem um potencial para vigilância, que poderia ser utilizado por ou vendido a grupos de espionagem. A **Proofpoint** alerta que a natureza global deste ator ressalta a necessidade de organizações em todo o mundo permanecerem vigilantes contra ameaças emergentes e complexas, independentemente de seu foco geográfico atual. Tais atores podem expandir e escalar rapidamente suas táticas para incluir mais alvos a qualquer momento.