Il gruppo cibercriminale di lingua cinese TA4922 ha spostato il mirino sull'Europa a partire da marzo 2026. Un report di Proofpoint documenta campagne contro bersagli in Germania, Italia, Regno Unito e Sudafrica, con un arsenale inedito: il trojan di accesso remoto Atlas RAT, i loader RomulusLoader e SilentRunLoader, e tecniche di phishing localizzate. Proofpoint valuta anche il possibile uso di modelli linguistici per accelerare lo sviluppo del malware.
- TA4922 è tracciato da Proofpoint come gruppo cibercriminale di lingua cinese, separato da "Silver Fox" e "Void Arachne" per coerenza con motivazioni finanziarie
- Da marzo 2026 l'attività è cresciuta drasticamente; da aprile il gruppo registra "operational diversity and high tempo" nel dataset Proofpoint
- Atlas RAT è un trojan di accesso remoto precedentemente non documentato, con controlli anti-sandbox basati su rilevamento di Microsoft Defender Application Guard, servizio CExecSvc e OS UUID
- Proofpoint rileva pattern associati a codice AI-generato: placeholder values, commenti e strutture ricorrenti che suggeriscono sviluppo assistito da LLM
La geografia del bersaglio: da East Asia a Europa
TA4922 ha storicamente concentrato le operazioni in Giappone, Taiwan, Corea del Sud, Singapore e India. La rotazione verso mercati europei, documentata nelle campagne di marzo-aprile 2026, comporta un cambio di registro nelle esche social engineering.
Le email e i messaggi — inviati anche tramite WhatsApp, LINE e Microsoft Teams — sfruttano temi amministrativi locali: avvisi di payroll, audit fiscali, dichiarazioni IVA, comunicazioni di conformità governativa, fatture e documenti delle risorse umane.
La localizzazione è accurata. Nel Regno Unito, campagne con tema fiscale hanno ospitato il malware attraverso MediaFire, con link distribuiti via email. In Germania, Proofpoint conferma l'uso di SyncFuture, software di monitoraggio remoto popolare in Cina, come strumento post-compromissione. La specificità dei temi indica ricognizione preliminare sui cicli amministrativi dei paesi bersaglio.
"TA4922 currently conducts more unique campaigns than any other tracked cybercrime threat actor in Proofpoint threat data, demonstrating high operational tempo, a variety of lures, and multiple objectives" — Proofpoint, via BleepingComputer
La catena d'attacco: loader e abuso di strumenti legittimi
L'infrastruttura malware di TA4922 è modulare. RomulusLoader, identificato come nuovo loader, scarica ed esegue payload aggiuntivi attraverso process hollowing, shellcode injection ed esecuzione diretta. SilentRunLoader opera nelle campagne UK ed europee con tecnica di DLL sideloading: un eseguibile legittimo carica una libreria malevola.
La catena converge su Atlas RAT per l'accesso remoto, oppure su Winos4.0/ValleyRAT, famiglia già documentata con funzionalità complete di controllo del sistema compromesso. La persistenza si appoggia a tool RMM legittimi: AnyDesk per l'accesso remoto, SyncFuture per il monitoraggio. L'abuso di software con firme valide riduce la visibilità delle difese endpoint.
Atlas RAT incorpora meccanismi di rilevamento ambienti analisi: ricerca di username, chiavi di registro e servizi tipici di sandbox e container di sicurezza, incluso Microsoft Defender Application Guard e il servizio CExecSvc. Questa attenzione all'evasione suggerisce cicli di sviluppo che includono test contro prodotti di sicurezza commerciali.
Il sospetto dell'AI-generated code e il confine cybercrime-spionaggio
Proofpoint avanza una valutazione tecnica: nei campioni di malware attribuiti a TA4922 sono presenti placeholder values non modificati, commenti al codice e pattern strutturali comunemente associati a output di modelli linguistici generativi. La lettura è che l'uso di LLM per prototipare o accelerare lo sviluppo malware stia abbassando il costo di ingresso per attori criminali, permettendo cicli di iterazione più rapidi.
La stessa velocità spiega il "high tempo" operativo di aprile 2026. Se un gruppo cibercriminale può generare varianti di loader e RAT in tempi compressi, le contromisure di firma diventano perseguimenti reattivi sistematicamente in ritardo. Il dossier non specifica quali LLM o toolchain siano coinvolti, né fornisce confronti statistici con campioni pre-2026.
Proofpoint sottolinea una duplice natura della minaccia. "While the actor is assessed to be financially motivated, the capabilities of the malware include the potential for surveillance, which could be used by or sold to espionage groups". La capacità di accesso remoto persistente, combinata con anti-analisi e localizzazione geografica, costituisce un bene rivendibile.
Cosa fare adesso
Le campagne di TA4922 si distinguono per la precisione della localizzazione, non per la sofisticazione tecnica dei vettori iniziali. Le contromisure efficaci si concentrano su tre punti specifici al caso documentato.
Primo: i temi di phishing replicano processi amministrativi reali — payroll, IVA, audit fiscali, conformità governativa. I team di sicurezza devono allineare le simulazioni di phishing con i cicli fiscali effettivi dei paesi dove opera l'organizzazione, non con template generici. La campagna UK su dichiarazioni IVA coincide con scadenze reali del sistema britannico.
Secondo: l'abuso di RMM legittimi — AnyDesk e SyncFuture nel caso specifico — richiede che le policy di esecuzione endpoint tracciano questi strumenti come software ad alto rischio, non come applicazioni trusted per default. SyncFuture, popolare in Cina ma raro in Europa, merita particolare attenzione nei log di rete.
Terzo: i loader RomulusLoader e SilentRunLoader usano tecniche documentate — process hollowing, shellcode injection, DLL sideloading — che le soluzioni EDR moderne rilevano quando correttamente configurate. La priorità non è l'acquisto di nuovi strumenti, ma la verifica che le regole di rilevamento per queste tecniche siano attive e non disabilitate per comodità operativa.
Il report Proofpoint include indicatori di compromissione per malware e infrastruttura C2. I SOC devono verificare l'ingestione di questi IoC nei feed di threat intelligence prima che le campagne di giugno-luglio 2026, tipicamente intensive per i cicli fiscali europei, aumentino il volume di tentativi.
Chiusura
TA4922 dimostra che la criminalità informatica di lingua cinese sta investendo in capacità di localizzazione e velocità di sviluppo, non solo in sofisticazione tecnica. L'espansione da East Asia a Europa, in quattro mesi, con più campagne uniche di qualsiasi altro attore tracciato da Proofpoint, indica risorse e organizzazione. La valutazione sull'uso di LLM resta pattern-based, ma il dato operativo — il tempo tra la ricognizione di un ciclo amministrativo e il lancio della campagna corrispondente — è misurabile e in accelerazione. Per le difese, il vantaggio sta nel riconoscere che l'ingegneria sociale è diventata il punto di differenziazione, non il malware sottostante.
Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.
Fonti
- https://www.bleepingcomputer.com/news/security/chinese-hackers-use-new-atlas-rat-malware-in-european-cyberattacks/
- https://hackread.com/china-ta4922-hackers-uk-europe-silentrunloader-malware/
- https://thehackernews.com/2026/05/jinx-0164-targets-cryptocurrency-firms.html
- https://nvd.nist.gov/vuln/detail/CVE-2025-33053
- https://nvd.nist.gov/vuln
- https://nvd.nist.gov/vuln/search
- https://nvd.nist.gov/vuln/categories
- https://nvd.nist.gov/vuln/data-feeds
- https://nvd.nist.gov/vuln/vendor-comments