Китайськомовне кіберзлочинне угруповання TA4922, яке раніше зосереджувалося на цілях у Східній Азії, розширило географію атак на європейські організації — у Великій Британії, Німеччині, Італії, а також у Південній Африці. За даними компанії Proofpoint, угруповання демонструє високий операційний темп і використовує як відомі сімейства зловмисного ПЗ (ValleyRAT, Atlas RAT), так і раніше не задокументовані інструменти — завантажувачі RomulusLoader і SilentRunLoader. Організаціям у заторкнутих регіонах слід посилити контроль фішингових атак на тематику кадрових і податкових повідомлень, а також обмежити можливості DLL side-loading на кінцевих точках.
Профіль угруповання та мотивація
Proofpoint відстежує активність під ідентифікатором TA4922, характеризуючи його як китайськомовного актора з переважно фінансовою мотивацією. На думку дослідників, угруповання націлене на отримання віддаленого доступу до інфраструктури жертв для викрадення даних, шахрайства, перепродажу доступу або забезпечення довгострокової присутності в скомпрометованих середовищах. Proofpoint зазначає, що TA4922 проводить більше унікальних кампаній, ніж будь-який інший актор загроз, якого вони відстежують, — це свідчить про виняткову операційну активність угруповання.
Важливо враховувати, що атрибуція та оцінка мотивації ґрунтуються на аналізі одного вендора і не підтверджені незалежними джерелами. Втім, Proofpoint підкреслює, що зловмисне ПЗ угруповання має функціональність для спостереження за жертвами, що розширює потенційний спектр загроз за межі суто фінансових цілей.
Арсенал зловмисного ПЗ
Набір інструментів TA4922 поєднує відомі й нові сімейства зловмисного ПЗ:
- Atlas RAT (також відомий як AtlasCross RAT) — троян для віддаленого доступу, що доставляється через DLL side-loading. Використовувався в більшості зафіксованих кампаній проти японських та європейських організацій.
- ValleyRAT (Winos 4.0) — відоме сімейство зловмисного ПЗ, раніше пов’язане з китайськомовними угрупованнями.
- RomulusLoader — раніше не задокументований завантажувач, написаний мовою C. В одній із кампаній використовувався для розгортання легітимного інструмента віддаленого доступу AnyDesk та утиліти SyncFuture через DLL side-loading.
- SilentRunLoader — завантажувач і стілер на Python, який, за даними Proofpoint, було створено з використанням методів так званого «vibe coding» (генерації коду за допомогою ШІ). Основна функція — скидання виконуваного файла для вилучення збережених облікових даних, файлів cookie та історії переглядів із Google Chrome.
Хронологія кампаній 2026 року
За даними Proofpoint, з березня по квітень 2026 року зафіксовано щонайменше сім окремих фішингових кампаній:
- 6 березня — атаки на японські організації з кадровими приманками, доставка Atlas RAT через DLL side-loading.
- 23 березня — корпоративні та кадрові приманки проти японських цілей, доставка RomulusLoader через DLL side-loading.
- 30 березня — приманки від імені податкових органів проти організацій у Великій Британії, доставка SilentRunLoader з подальшою ексфільтрацією даних Chrome.
- 2 квітня — кадрові приманки проти організацій у Великій Британії та Німеччині, доставка Atlas RAT.
- 7 квітня — приманки з рахунками-фактурами проти японських організацій, доставка Atlas RAT.
- 10 квітня — приманки на тему пільг і комплаєнсу проти організацій у Південно-Східній Азії та Великій Британії, доставка SilentRunLoader з ексфільтрацією даних Chrome.
- Середина квітня — бізнес- та податкові приманки проти організацій у Японії та Німеччині, доставка RomulusLoader з подальшим розгортанням AnyDesk і SyncFuture.
Тактичні особливості
Окрім традиційного фішингу, дослідники Proofpoint зафіксували характерний тактичний прийом TA4922 — переведення комунікації з жертвами з електронної пошти в сторонні канали: LINE, WhatsApp і Microsoft Teams. Мета такого переходу — обхід корпоративних засобів захисту електронної пошти (шлюзів безпеки, DLP-систем, пісочниць), які не контролюють ці канали. Це дає змогу зловмисникам доставляти зловмисне ПЗ та викрадати дані, оминаючи основний периметр захисту.
Провідний метод доставки корисного навантаження — DLL side-loading, за якого зловмисна динамічна бібліотека завантажується легітимним застосунком. Цей метод ефективно обходить низку антивірусних рішень, оскільки шкідливий код виконується в контексті довіреного процесу.
Оцінка впливу
Розширення географії атак TA4922 насамперед зачіпає організації у Великій Британії, Німеччині та Південно-Східній Азії. Використання кадрових, податкових і бізнес-приманок вказує на широкий спектр потенційних жертв — від HR-відділів до фінансових підрозділів. Особливо небезпечним є SilentRunLoader: компрометація збережених у Chrome облікових даних може призвести до каскадного захоплення корпоративних акаунтів, особливо за відсутності багатофакторної автентифікації.
Розгортання легітимного інструмента AnyDesk через RomulusLoader створює стійкий канал віддаленого доступу, який складно відрізнити від легітимного використання без цілеспрямованого моніторингу.
Практичні рекомендації
- Обмеження DLL side-loading: запровадьте політики контролю застосунків (AppLocker, WDAC), що забороняють завантаження DLL із нестандартних директорій. Моніторте події завантаження бібліотек легітимними застосунками з тимчасових папок і користувацьких каталогів.
- Контроль сторонніх месенджерів: обмежте або моніторте використання LINE, WhatsApp Desktop і неавторизованих екземплярів Microsoft Teams на корпоративних пристроях. Навчіть співробітників розпізнавати спроби переведення ділового листування в неконтрольовані канали.
- Захист даних браузера: розгляньте вимкнення вбудованого менеджера паролів Chrome на користь корпоративного рішення. Моніторте звернення до файлів профілю Chrome (Login Data, Cookies, History) з боку нетипових процесів.
- Контроль AnyDesk: якщо AnyDesk не є затвердженим корпоративним інструментом, заблокуйте його встановлення та виконання. У разі легітимного використання — відстежуйте несанкціоновані екземпляри.
- Посилення фільтрації фішингу: оновіть правила поштових шлюзів для виявлення приманок на тематику HR-повідомлень, податкових документів і рахунків-фактур, особливо тих, що містять вкладення з виконуваними файлами або архівами.
Сім кампаній за шість тижнів із використанням трьох різних сімейств зловмисного ПЗ та постійною зміною приманок — це темп, який вимагає від захисників проактивного підходу. Пріоритетні дії: обмеження DLL side-loading на кінцевих точках, блокування несанкціонованих інструментів віддаленого доступу та контроль звернень до сховища облікових даних Chrome. Організаціям у Великій Британії та Німеччині варто розглядати TA4922 як актуальну загрозу вже зараз, не чекаючи підтвердження від додаткових джерел.