Chinese cybercrimegroepering richt zijn pijlen op Europa
Onderzoekers van Proofpoint waarschuwen voor een Chinees sprekende dreigingsactor geïdentificeerd: TA4922. Deze groep, die zich oorspronkelijk richtte op Oost-Azië, breidt haar activiteiten steeds verder uit, ook naar Europa en Afrika. TA4922 onderscheidt zich door de diversiteit aan lokmiddelen, doelwitten en doelstellingen, zoals het verspreiden van malware, phishing voor het stelen van inloggegevens en fraude, waaronder creditcarddiefstal.
De groep maakt gebruik van geavanceerde malware, zoals Atlas RAT, RomulusLoader, SilentRunLoader en ValleyRAT (Winos4.0). Daarnaast past TA4922 lokberichten aan per regio, vaak gericht op thema’s als HR, salarisadministratie, belastingen en facturering. De actor combineert kwaadaardige activiteiten met legitieme tools, zoals remote managementsoftware (RMM) als AnyDesk en SyncFuture, en cloudhostingservices, wat detectie en verdediging bemoeilijkt.
Sinds voorjaar van 2025 actief
Vanaf het voorjaar van 2025 volgt Proofpoint kwaadaardige e-mailcampagnes die in verband worden gebracht met TA4922. Uit analyse blijkt dat de dader financieel gemotiveerd is en zich richt op het verkrijgen van toegang op afstand tot systemen van slachtoffers, met als doel gegevensdiefstal, fraude, het doorverkopen van toegangsrechten of het verkrijgen van blijvende toegang. In maart en april 2026 nam het tempo van de activiteiten van TA4922 drastisch toe, met campagnes die voornamelijk gebruikmaakten van lokmiddelen rond personeels- en zakelijke thema’s.
Hoewel TA4922 overlappingen vertoont met andere groepen, zoals Silver Fox en Void Arachne, volgt Proofpoint deze actor als een afzonderlijk dreigingscluster. De groep voert momenteel meer unieke campagnes uit dan elke andere cybercriminele actor in de dreigingsdata van Proofpoint, wat wijst op een hoog operationeel tempo en een breed scala aan doelstellingen.