Mastodon Mastodon Mastodon Mastodon

Chinesischsprachige Cybercrime-Gruppe TA4922 weitet Angriffe auf Europa aus

Foto des Autors

CyberSecureFox Editorial Team

Veröffentlicht:

Die chinesischsprachige Cybercrime-Gruppierung TA4922, die sich zuvor auf Ziele in Ostasien konzentrierte, hat den geografischen Radius ihrer Angriffe auf europäische Organisationen in Großbritannien, Deutschland und Italien sowie auf Ziele in Südafrika ausgeweitet. Laut dem Unternehmen Proofpoint zeigt die Gruppe ein hohes operatives Tempo und setzt sowohl bekannte Malware-Familien (ValleyRAT, Atlas RAT) als auch bislang undokumentierte Tools ein – die Loader RomulusLoader und SilentRunLoader. Organisationen in den betroffenen Regionen sollten die Erkennung von Phishing-Angriffen mit HR- und Steuer-Themen verstärken und die Möglichkeiten von DLL side-loading auf Endpunkten einschränken.

Profil der Gruppierung und Motivation

Proofpoint verfolgt die Aktivitäten unter der Kennung TA4922 und beschreibt sie als chinesischsprachigen Akteur mit überwiegend finanzieller Motivation. Nach Einschätzung der Forscher zielt die Gruppierung darauf ab, sich entfernten Zugriff auf die Infrastruktur der Opfer zu verschaffen, um Daten zu stehlen, Betrug zu begehen, Zugänge weiterzuverkaufen oder eine langfristige Präsenz in kompromittierten Umgebungen aufzubauen. Proofpoint hebt hervor, dass TA4922 mehr einzigartige Kampagnen durchführt als jeder andere von ihnen beobachtete Threat Actor – ein Hinweis auf eine außergewöhnlich hohe operative Aktivität der Gruppe.

Dabei ist zu beachten, dass Attribution und Motivationsbewertung auf der Analyse eines einzelnen Anbieters beruhen und nicht durch unabhängige Quellen bestätigt sind. Dennoch betont Proofpoint, dass die Malware der Gruppierung Funktionen zur Überwachung der Opfer bietet, was das potenzielle Bedrohungsspektrum über rein finanzielle Ziele hinaus ausweitet.

Malware-Arsenal

Das Toolset von TA4922 kombiniert bekannte und neue Malware-Familien:

  • Atlas RAT (auch bekannt als AtlasCross RAT) – ein Remote-Access-Trojaner, der über DLL side-loading ausgeliefert wird. Er wurde in den meisten beobachteten Kampagnen gegen japanische und europäische Organisationen eingesetzt.
  • ValleyRAT (Winos 4.0) – eine bekannte Malware-Familie, die zuvor mit chinesischsprachigen Gruppen in Verbindung gebracht wurde.
  • RomulusLoader – ein bislang nicht dokumentierter Loader, geschrieben in C. In einer Kampagne wurde er eingesetzt, um das legitime Remote-Access-Tool AnyDesk und das Tool SyncFuture per DLL side-loading bereitzustellen.
  • SilentRunLoader – ein Loader und Stealer auf Basis von Python, der laut Proofpoint unter Verwendung von Methoden des sogenannten „vibe coding“ (Codegenerierung mit Hilfe von KI) erstellt wurde. Die Hauptfunktion besteht darin, eine ausführbare Datei abzulegen, um gespeicherte Anmeldedaten, Cookies und den Browserverlauf aus Google Chrome zu extrahieren.

Chronologie der Kampagnen im Jahr 2026

Laut Proofpoint wurden von März bis April 2026 mindestens sieben separate Phishing-Kampagnen beobachtet:

  • 6. März – Angriffe auf japanische Organisationen mit HR-bezogenen Ködern, Auslieferung von Atlas RAT über DLL side-loading.
  • 23. März – Unternehmens- und HR-Köder gegen japanische Ziele, Auslieferung von RomulusLoader über DLL side-loading.
  • 30. März – Köder im Namen von Steuerbehörden gegen Organisationen in Großbritannien, Auslieferung von SilentRunLoader mit anschließender Exfiltration von Chrome-Daten.
  • 2. April – HR-Köder gegen Organisationen in Großbritannien und Deutschland, Auslieferung von Atlas RAT.
  • 7. April – Köder mit Rechnungen (Invoices) gegen japanische Organisationen, Auslieferung von Atlas RAT.
  • 10. April – Köder mit Themen zu Vergünstigungen und Compliance gegen Organisationen in Südostasien und Großbritannien, Auslieferung von SilentRunLoader mit Exfiltration von Chrome-Daten.
  • Mitte April – geschäftliche und steuerbezogene Köder gegen Organisationen in Japan und Deutschland, Auslieferung von RomulusLoader mit anschließendem Deployment von AnyDesk und SyncFuture.

Taktische Besonderheiten

Neben klassischem Phishing stellten die Proofpoint-Forscher eine charakteristische Taktik von TA4922 fest – die Verlagerung der Kommunikation mit den Opfern aus der E-Mail in Drittkanäle: LINE, WhatsApp und Microsoft Teams. Ziel dieses Wechsels ist es, Unternehmenslösungen zum Schutz der E-Mail (Secure E-Mail Gateways, DLP-Systeme, Sandboxing), die diese Kanäle nicht überwachen, zu umgehen. So können Angreifer Malware ausliefern und Daten stehlen, ohne den primären Schutzperimeter zu durchlaufen.

Die vorherrschende Methode zur Zustellung der Payload ist DLL side-loading, bei der eine bösartige Dynamic Link Library von einer legitimen Anwendung geladen wird. Diese Methode umgeht effektiv eine Reihe von Antiviren-Lösungen, da der schädliche Code im Kontext eines vertrauenswürdigen Prozesses ausgeführt wird.

Einschätzung der Auswirkungen

Die Ausweitung des geografischen Angriffsradius von TA4922 betrifft in erster Linie Organisationen in Großbritannien, Deutschland und Südostasien. Der Einsatz von HR-, Steuer- und Business-Ködern deutet auf ein breites Spektrum potenzieller Opfer hin – von HR-Abteilungen bis hin zu Finanzbereichen. Besonders gefährlich ist SilentRunLoader: Eine Kompromittierung der in Chrome gespeicherten Zugangsdaten kann zu einer kaskadenartigen Übernahme von Unternehmensaccounts führen, insbesondere wenn keine Multi-Faktor-Authentifizierung eingesetzt wird.

Das Deployment des legitimen Tools AnyDesk über RomulusLoader etabliert einen persistenten Remote-Access-Kanal, der ohne gezieltes Monitoring nur schwer von legitimer Nutzung zu unterscheiden ist.

Praktische Empfehlungen

  • Einschränkung von DLL side-loading: Implementieren Sie Application-Control-Richtlinien (AppLocker, WDAC), die das Laden von DLLs aus ungewöhnlichen Verzeichnissen verbieten. Überwachen Sie Bibliotheksladevorgänge legitimer Anwendungen aus temporären Ordnern und Benutzerverzeichnissen.
  • Kontrolle externer Messenger: Beschränken oder überwachen Sie die Nutzung von LINE, WhatsApp Desktop und nicht autorisierten Instanzen von Microsoft Teams auf Unternehmensgeräten. Schulen Sie Mitarbeiter darin, Versuche zu erkennen, geschäftliche Kommunikation in unkontrollierte Kanäle zu verlagern.
  • Schutz von Browser-Daten: Ziehen Sie in Betracht, den integrierten Passwortmanager von Chrome zugunsten einer Unternehmenslösung zu deaktivieren. Überwachen Sie Zugriffe ungewöhnlicher Prozesse auf die Chrome-Profil-Dateien (Login Data, Cookies, History).
  • Kontrolle von AnyDesk: Wenn AnyDesk kein freigegebenes Unternehmens-Tool ist, blockieren Sie Installation und Ausführung. Bei legitimer Nutzung sollten Sie nach nicht autorisierten Instanzen Ausschau halten.
  • Stärkere Phishing-Filterung: Aktualisieren Sie die Regeln Ihrer Mail-Gateways zur Erkennung von Ködern mit HR-Benachrichtigungen, Steuerdokumenten und Rechnungen, insbesondere wenn sie Anhänge mit ausführbaren Dateien oder Archiven enthalten.

Sieben Kampagnen in sechs Wochen, der Einsatz von drei verschiedenen Malware-Familien und der ständige Wechsel der Köder-Themen – dieses Tempo erfordert von Verteidigern einen proaktiven Ansatz. Vorrangige Maßnahmen sind: Einschränkung von DLL side-loading auf Endpunkten, Blockierung nicht autorisierter Remote-Access-Tools und Kontrolle der Zugriffe auf den Chrome-Credential-Speicher. Organisationen in Großbritannien und Deutschland sollten TA4922 bereits jetzt als akute Bedrohung einstufen, ohne auf Bestätigungen durch zusätzliche Quellen zu warten.

Foto des Autors

CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.

CyberSecureFox

© 2026 INFO

Über uns

Über CyberSecureFox

Autoren

Kontakt

Redaktion

Redaktionelle Standards

Korrekturen

Rechtliches

Datenschutzerklärung

Nutzungsbedingungen