De cybercrimegroep TA4922, die gelinkt wordt aan China, heeft haar aanvalsfocus uitgebreid naar Europese landen zoals het Verenigd Koninkrijk, Duitsland en Italië, evenals Zuid-Afrika. Volgens het beveiligingsbedrijf Proofpoint kenmerkt deze groep zich door een snel operatietempo en een steeds veranderend arsenaal aan malware, waaronder bekende families als ValleyRAT (ook bekend als Winos 4.0) en Atlas RAT (AtlasCross RAT), naast nieuw ontdekte tools zoals RomulusLoader en SilentRunLoader.

TA4922 wordt omschreven als een Chineessprekende dreigingsactor die voornamelijk actief is in Oost-Azië, maar nu dus ook wereldwijd opereert. De groep vertoont overlap met de eerder bekende Silver Fox, maar richt zich vooral op cybercriminaliteit met financiële motieven in plaats van spionage. Het doel is het verkrijgen van toegang tot systemen voor financieel gewin, bijvoorbeeld door het stelen van data, fraude, doorverkoop van toegang of het behouden van persistente toegang.

De recente campagnes van TA4922 maken gebruik van phishing met thema's rond human resources en zakelijke onderwerpen om credentials te stelen, fraude te plegen en malware te verspreiden. Daarbij worden onder meer de malwarefamilies Atlas RAT, RomulusLoader en SilentRunLoader ingezet. Een opvallende tactiek is het verplaatsen van communicatie van e-mail naar externe kanalen zoals LINE, WhatsApp en Microsoft Teams, waarmee de aanvallers beveiligingsmaatregelen binnen organisaties omzeilen om zo data te stelen of malware te leveren.

Enkele voorbeelden van recente phishingcampagnes zijn onder meer aanvallen met HR-gerelateerde lokmiddelen op Japanse organisaties waarbij Atlas RAT via DLL side-loading werd verspreid, en aanvallen in het Verenigd Koninkrijk met belastingdienst-gerelateerde lokmiddelen waarbij SilentRunLoader werd ingezet om gevoelige Google Chrome-gegevens te stelen. Ook werden in Duitsland en Japan business- en belastingthema's gebruikt om RomulusLoader te verspreiden, waarna tools als AnyDesk en SyncFuture werden geïnstalleerd.

Hoewel TA4922 vooral financieel gemotiveerd lijkt, beschikt de malware ook over mogelijkheden voor surveillance, wat mogelijk door spionagegroepen kan worden gebruikt of doorverkocht. De wereldwijde activiteiten van deze groep benadrukken het belang voor organisaties om alert te zijn op complexe en snel evoluerende dreigingen, ongeacht de geografische locatie.