Globálissá vált célzott adathalászat
A Proofpoint új kutatása egy TA4922 néven követett, feltételezhetően kínai nyelvű kiberbűnözői csoport működését mutatja be, amely az elmúlt évben jelentősen kibővítette célpontjait. Míg korábban elsősorban Kelet-Ázsiában tevékenykedett, 2026-ban már európai és afrikai szervezetek ellen is azonosítottak kampányokat. A kutatók értékelése szerint a csoport elsődlegesen pénzügyi motivációjú, bár eszközkészlete és műveleti fegyelme több ponton állami hátterű kínai APT-csoportokra emlékeztet.
A TA4922 fő támadási módszere a célzott adathalászat. A kampányok jellemzően HR-, bérszámfejtési, adózási, számlázási vagy álláskeresési témájú e-mailekkel indulnak, amelyeket az adott ország nyelvéhez és üzleti környezetéhez igazítanak. A támadók nemcsak hitelesítő adatokat próbálnak megszerezni, hanem távoli hozzáférést is kialakítanak a kompromittált rendszereken, amelyet később adatlopásra, csalásokra vagy hozzáférések továbbértékesítésére használhatnak fel.
A csoport malware-arzenálja az elmúlt hónapokban jelentősen bővült. A korábban használt ValleyRAT (Winos 4.0) és HoldingHands mellett új komponensek jelentek meg, köztük az Atlas RAT, valamint a Proofpoint által újonnan elnevezett RomulusLoader és SilentRunLoader betöltők. A RomulusLoader további eszközök – például legitim távoli menedzsment szoftverek (AnyDesk, SyncFuture) – telepítésére is szolgál, ami megkönnyíti a tartós hozzáférés fenntartását.
A kutatás szerint a TA4922 működésének egyik legfontosabb jellemzője a legitim szolgáltatások és felhőinfrastruktúrák intenzív használata. A csoport rendszeresen támaszkodik megbízható fájlmegosztó platformokra, kereskedelmi tárhelyszolgáltatókra és ismert távoli adminisztrációs eszközökre, ami jelentősen megnehezíti a felismerést. A Proofpoint szerint a fenyegető szereplő több ponton átfedést mutat a korábban Silver Fox vagy Void Arachne néven leírt kínai klaszterekkel, ugyanakkor a megfigyelt kampányok inkább klasszikus kiberbűnözői célokat szolgálnak, mint állami kémkedést.
A kínai nyelvű kiberbűnözés egyre inkább kilép a hagyományos regionális célpontok köréből, és globális szereplővé válik. A TA4922 ezt a tendenciát jól példázza, fejlett pszichológiai megtévesztési technikákat, változatos kártevőket és professzionális infrastruktúrát alkalmazva már Európában is aktív fenyegetést jelent a vállalati és intézményi környezetre.
