TA4922: grupo chinês mira Reino Unido, Alemanha, Itália e África do Sul em ritmo recorde

O grupo de cibercrime chinês TA4922, monitorado pela Proofpoint e com sobreposição operacional ao Silver Fox, expandiu seu raio de ação para Reino Unido, Alemanha, Itália e África do Sul, em um ritmo de campanhas descrito como o mais intenso entre todos os atores acompanhados pela empresa. O grupo combina famílias de malware conhecidas como ValleyRAT (Winos 4.0) e Atlas RAT com dois loaders inéditos — RomulusLoader e SilentRunLoader — e usa LINE, WhatsApp e Microsoft Teams para fugir das defesas corporativas.

O que aconteceu

Em novo relatório, a Proofpoint revelou que o ator de ameaça batizado como TA4922, historicamente focado no Leste Asiático, intensificou drasticamente sua atuação contra organizações europeias e africanas ao longo dos últimos meses. O ritmo das operações é tão acelerado que a empresa classifica o grupo como o que conduz “as campanhas mais únicas” entre todos os adversários monitorados, com novas iscas, novos loaders e novas combinações de payload aparecendo praticamente toda semana.

A pesquisa identifica o TA4922 como falante de mandarim e provável grupo financeiramente motivado, compartilhando técnicas, ferramentas e infraestrutura com o ator conhecido como Silver Fox. A diferença, segundo a Proofpoint, é que enquanto Silver Fox tem viés de espionagem, o TA4922 mira ganho financeiro direto: roubo de dados, fraude, venda de acessos e persistência de longo prazo dentro das vítimas.

As campanhas mais recentes abandonaram alvos exclusivamente asiáticos e passaram a explorar iscas relacionadas a recursos humanos, fiscais e processos de compliance contra empresas britânicas, alemãs, italianas e sul-africanas, com payloads que variam conforme a região e o setor.

Como o ataque funciona

A cadeia de ataque típica começa com phishing por email usando temas de RH, faturas ou comunicações fiscais. A partir do contato inicial, o operador tenta migrar a conversa para canais fora da banda — LINE, WhatsApp e Microsoft Teams — uma manobra desenhada para escapar dos gateways de email, das soluções de DLP e de qualquer registro corporativo do diálogo. Uma vez fora do perímetro de inspeção, a vítima recebe um arquivo malicioso que costuma usar DLL side-loading para executar o payload final.

O arsenal técnico do grupo evoluiu de forma significativa. Além de ValleyRAT (também conhecido como Winos 4.0) e Atlas RAT (AtlasCross RAT), a Proofpoint catalogou dois loaders novos. O RomulusLoader, escrito em C, é usado para preparar o terreno antes da entrega de RATs maiores. O SilentRunLoader, programado em Python e descrito pela Proofpoint como “vibe-coded”, funciona simultaneamente como carregador e como stealer, extraindo credenciais armazenadas, cookies e histórico do Google Chrome.

“O ator é provavelmente motivado por ganho financeiro e focado em obter acesso remoto aos ambientes das vítimas para roubo de dados, fraude, revenda de acesso ou persistência.”

Proofpoint

Quem é afetado

Entre março e abril de 2026, a Proofpoint mapeou pelo menos seis ondas de campanhas distintas atribuídas ao TA4922, atingindo geografias e setores diversos:

• 6 de março — empresas japonesas com iscas de RH
• 23 de março — organizações no Japão recebendo RomulusLoader via DLL side-loading
• 30 de março — empresas do Reino Unido com iscas de autoridade fiscal entregando SilentRunLoader em Python
• 2 de abril — organizações no Reino Unido e na Alemanha com iscas de comunicação de RH e payload Atlas RAT
• 7 de abril — empresas japonesas com iscas de fatura e entrega de Atlas RAT
• 10 de abril — Sudeste Asiático e Reino Unido com iscas de benefícios e compliance entregando SilentRunLoader

Análise

O caso TA4922 ilustra uma tendência que vem se consolidando entre os grupos cibercriminosos de língua chinesa: a profissionalização operacional aproxima cada vez mais o crime financeiro das técnicas de APT estatais. O uso de DLL side-loading, dois loaders proprietários e quatro famílias de malware em paralelo são marcas típicas de atividade tipo nation-state — mas o objetivo final, segundo a Proofpoint, é puramente monetário.

A migração para LINE, WhatsApp e Teams como vetor de entrega de malware merece atenção especial. Essa tática já foi observada em campanhas do Vermin no leste europeu e em fraudes de “pig butchering” no sudeste asiático, e agora aparece como vetor estabelecido em phishing corporativo de larga escala. Para o defensor médio, isso significa que controles de email — por mais maduros que sejam — são apenas a primeira linha de uma cadeia de comunicação que escapa do seu campo de visão.

A expansão para Reino Unido, Alemanha, Itália e África do Sul também acompanha um padrão mais amplo: grupos chineses descontentes com a saturação de seus mercados de origem buscam alvos em economias maduras, onde o valor de credenciais corporativas, dados financeiros e acessos remotos é substancialmente maior no mercado clandestino. É razoável esperar que outras regiões — incluindo a América Latina e o sul da Europa — entrem no escopo nos próximos trimestres.

Recomendações práticas

• Reforce o monitoramento de tentativas de migração de conversas de email para LINE, WhatsApp e Teams, especialmente em departamentos de RH, finanças e jurídico
• Aplique políticas restritivas para Microsoft Teams Federated External Access e bloqueie chats com tenants não confiáveis
• Implemente detecção comportamental para DLL side-loading em endpoints, monitorando execuções de DLLs em diretórios não padrão
• Treine equipes para reconhecer iscas de RH, fiscais e de compliance, que continuam sendo os temas favoritos do TA4922
• Habilite proteção avançada do navegador para impedir extração de credenciais e cookies do Chrome
• Considere a aplicação de regras YARA/Sigma públicas para RomulusLoader, SilentRunLoader, ValleyRAT e Atlas RAT
• Implemente segmentação de rede para limitar movimentação lateral após comprometimento inicial

Fonte: The Hacker News