Китайскоязычная киберпреступная группировка TA4922, ранее сосредоточенная на целях в Восточной Азии, расширила географию атак на европейские организации — в Великобритании, Германии, Италии, а также в Южной Африке. По данным компании Proofpoint, группировка демонстрирует высокий операционный темп и использует как известные семейства вредоносного ПО (ValleyRAT, Atlas RAT), так и ранее не задокументированные инструменты — загрузчики RomulusLoader и SilentRunLoader. Организациям в затронутых регионах следует усилить контроль фишинговых атак с тематикой кадровых и налоговых уведомлений, а также ограничить возможности DLL side-loading на конечных точках.
Профиль группировки и мотивация
Proofpoint отслеживает активность под идентификатором TA4922, характеризуя её как китайскоязычного актора с преимущественно финансовой мотивацией. По оценке исследователей, группировка нацелена на получение удалённого доступа к инфраструктуре жертв для кражи данных, мошенничества, перепродажи доступа или обеспечения долгосрочного присутствия в скомпрометированных средах. Proofpoint отмечает, что TA4922 проводит больше уникальных кампаний, чем любой другой отслеживаемый ими актор угроз — это свидетельствует об исключительной операционной активности группировки.
Важно учитывать, что атрибуция и оценка мотивации основаны на анализе одного вендора и не подтверждены независимыми источниками. Тем не менее Proofpoint подчёркивает, что вредоносное ПО группировки обладает функциональностью для наблюдения за жертвами, что расширяет потенциальный спектр угроз за рамки чисто финансовых целей.
Арсенал вредоносного ПО
Набор инструментов TA4922 сочетает известные и новые семейства вредоносного ПО:
- Atlas RAT (также известен как AtlasCross RAT) — троян удалённого доступа, доставляемый через DLL side-loading. Использовался в большинстве зафиксированных кампаний против японских и европейских организаций.
- ValleyRAT (Winos 4.0) — известное семейство вредоносного ПО, ранее ассоциировавшееся с китайскоязычными группировками.
- RomulusLoader — ранее не задокументированный загрузчик, написанный на языке C. В одной из кампаний использовался для развёртывания легитимного инструмента удалённого доступа AnyDesk и утилиты SyncFuture через DLL side-loading.
- SilentRunLoader — загрузчик и стилер на Python, который, по данным Proofpoint, был создан с использованием методов так называемого «vibe coding» (генерации кода с помощью ИИ). Основная функция — сброс исполняемого файла для извлечения сохранённых учётных данных, файлов cookie и истории просмотров из Google Chrome.
Хронология кампаний 2026 года
По данным Proofpoint, с марта по апрель 2026 года зафиксировано не менее семи отдельных фишинговых кампаний:
- 6 марта — атаки на японские организации с кадровыми приманками, доставка Atlas RAT через DLL side-loading.
- 23 марта — корпоративные и кадровые приманки против японских целей, доставка RomulusLoader через DLL side-loading.
- 30 марта — приманки от имени налоговых органов против организаций в Великобритании, доставка SilentRunLoader с последующей эксфильтрацией данных Chrome.
- 2 апреля — кадровые приманки против организаций в Великобритании и Германии, доставка Atlas RAT.
- 7 апреля — приманки со счетами-фактурами против японских организаций, доставка Atlas RAT.
- 10 апреля — приманки на тему льгот и комплаенса против организаций в Юго-Восточной Азии и Великобритании, доставка SilentRunLoader с эксфильтрацией данных Chrome.
- Середина апреля — бизнес- и налоговые приманки против организаций в Японии и Германии, доставка RomulusLoader с последующим развёртыванием AnyDesk и SyncFuture.
Тактические особенности
Помимо традиционного фишинга, исследователи Proofpoint зафиксировали характерный тактический приём TA4922 — перевод коммуникации с жертвами из электронной почты в сторонние каналы: LINE, WhatsApp и Microsoft Teams. Цель такого перехода — обход корпоративных средств защиты электронной почты (шлюзов безопасности, DLP-систем, песочниц), которые не контролируют эти каналы. Это позволяет атакующим доставлять вредоносное ПО и похищать данные, минуя основной периметр защиты.
Доминирующий метод доставки полезной нагрузки — DLL side-loading, при котором вредоносная динамическая библиотека загружается легитимным приложением. Этот метод эффективно обходит ряд антивирусных решений, поскольку вредоносный код исполняется в контексте доверенного процесса.
Оценка воздействия
Расширение географии атак TA4922 затрагивает прежде всего организации в Великобритании, Германии и Юго-Восточной Азии. Использование кадровых, налоговых и бизнес-приманок указывает на широкий спектр потенциальных жертв — от HR-отделов до финансовых подразделений. Особую опасность представляет SilentRunLoader: компрометация сохранённых в Chrome учётных данных может привести к каскадному захвату корпоративных аккаунтов, особенно при отсутствии многофакторной аутентификации.
Развёртывание легитимного инструмента AnyDesk через RomulusLoader создаёт устойчивый канал удалённого доступа, который сложно отличить от легитимного использования без целенаправленного мониторинга.
Практические рекомендации
- Ограничение DLL side-loading: внедрите политики контроля приложений (AppLocker, WDAC), запрещающие загрузку DLL из нестандартных директорий. Мониторьте события загрузки библиотек легитимными приложениями из временных папок и пользовательских каталогов.
- Контроль сторонних мессенджеров: ограничьте или мониторьте использование LINE, WhatsApp Desktop и неавторизованных экземпляров Microsoft Teams на корпоративных устройствах. Обучите сотрудников распознавать попытки перевода деловой переписки в неконтролируемые каналы.
- Защита данных браузера: рассмотрите отключение встроенного менеджера паролей Chrome в пользу корпоративного решения. Мониторьте обращения к файлам профиля Chrome (Login Data, Cookies, History) со стороны нетипичных процессов.
- Контроль AnyDesk: если AnyDesk не является утверждённым корпоративным инструментом, заблокируйте его установку и выполнение. При легитимном использовании — мониторьте несанкционированные экземпляры.
- Усиление фильтрации фишинга: обновите правила почтовых шлюзов для выявления приманок с тематикой HR-уведомлений, налоговых документов и счетов-фактур, особенно содержащих вложения с исполняемыми файлами или архивами.
Семь кампаний за шесть недель с использованием трёх различных семейств вредоносного ПО и постоянной сменой приманок — это темп, требующий от защитников проактивного подхода. Приоритетные действия: ограничение DLL side-loading на конечных точках, блокировка несанкционированных инструментов удалённого доступа и контроль обращений к хранилищу учётных данных Chrome. Организациям в Великобритании и Германии стоит рассматривать TA4922 как актуальную угрозу уже сейчас, не дожидаясь подтверждения от дополнительных источников.