Il gruppo di cybercrime TA4922, collegato alla Cina, sta ampliando in modo deciso il raggio delle proprie campagne di phishing, prendendo di mira non solo l’Asia orientale ma anche organizzazioni in Regno Unito, Germania, Italia e Sudafrica. La crescita è accompagnata da un ritmo operativo rapido e da un arsenale malware in continua evoluzione che combina famiglie già note con nuovi loader ancora poco documentati.
Secondo le analisi più recenti, TA4922 utilizza tecniche orientate a obiettivi criminali e monetizzazione, come furto di dati, frode, rivendita degli accessi e mantenimento di accesso persistente negli ambienti compromessi. In questo contesto il phishing non è solo un mezzo per rubare credenziali, ma diventa la porta di ingresso per installare trojan di accesso remoto e strumenti di esfiltrazione. Tra i malware osservati compaiono ValleyRAT e Atlas RAT insieme a componenti come RomulusLoader e SilentRunLoader, progettati per avviare catene di infezione modulari.
Un elemento centrale delle campagne è l’uso di esche credibili a tema risorse umane, business, fatture e comunicazioni aziendali. Questi messaggi portano spesso a pagine di credential phishing oppure a file malevoli che sfruttano tecniche come il DLL side loading per caricare il payload evitando controlli di sicurezza tradizionali. In diverse ondate operative Atlas RAT è stato distribuito proprio tramite side loading, mentre RomulusLoader è stato impiegato come loader in linguaggio C per preparare l’esecuzione di ulteriori componenti.
SilentRunLoader rappresenta un passaggio significativo perché associato anche a funzioni di furto dati dai browser. In particolare, sono stati osservati scenari in cui dopo l’infezione viene rilasciato un eseguibile capace di raccogliere informazioni sensibili da Google Chrome, incluse credenziali salvate, cookie e dati di navigazione. Questo tipo di raccolta abilita sia frodi sia accessi successivi a servizi aziendali.
Un’altra tendenza rilevante è il tentativo di spostare la conversazione fuori dalla posta elettronica verso canali come LINE, WhatsApp e Microsoft Teams. Questa strategia può aiutare gli attaccanti a eludere filtri e policy di sicurezza email e a convincere le vittime a condividere file o informazioni in contesti percepiti come più informali.