Un grupo de ciberdelincuencia de habla china ha ampliado sus operaciones a Europa, desplegando un cargador de malware previamente no documentado junto al troyano de acceso remoto Atlas (RAT) en campañas dirigidas a organizaciones de varios países, según investigadores de seguridad.
La actividad se ha atribuido a un actor amenazante rastreado como TA4922, un grupo motivado financieramente conocido por realizar intrusiones destinadas a fraude, robo de datos y venta de acceso a la red. Los investigadores afirman que el grupo históricamente se ha centrado en objetivos en Asia, pero recientemente ha desplazado parte de su atención hacia Europa.
Según investigadores de ThreatLocker, TA4922 ha estado atacando organizaciones en Alemania, Italia, Reino Unido y otras regiones mediante campañas de phishing que entregan malware disfrazado de archivos legítimos. Una vez ejecutado, el malware establece una base en el sistema de la víctima y descarga cargas adicionales, incluyendo la puerta trasera Atlas RAT.
Atlas RAT proporciona a los atacantes un control extenso sobre los dispositivos infectados. El malware puede ejecutar comandos, gestionar archivos, recopilar información del sistema y mantener acceso persistente a sistemas comprometidos. Estas capacidades permiten a los actores de amenazas realizar reconocimientos, robar datos sensibles y, potencialmente, desplegar malware adicional tras el compromiso inicial.
Los investigadores también identificaron un componente de malware previamente no documentado utilizado en los ataques. El nuevo cargador está diseñado para evadir la detección mientras entrega Atlas RAT y otras cargas maliciosas. Al separar el proceso de infección en varias etapas, los atacantes pueden dificultar el análisis y reducir la probabilidad de que los productos de seguridad detecten toda la cadena de ataques.
Los analistas de inteligencia de amenazas señalaron que TA4922 opera a un ritmo acelerado, lanzando numerosas campañas y modificando frecuentemente su herramienta. La infraestructura y el arsenal de malware del grupo han evolucionado con el tiempo, permitiéndole dirigirse a una amplia gama de organizaciones mientras se adapta a los controles de seguridad y a los esfuerzos de detección.
La expansión hacia Europa refleja una tendencia más amplia en la que los grupos cibercriminales operan cada vez más a través de fronteras geográficas en lugar de centrarse en una sola región. Los investigadores creen que las campañas recientes de TA4922 están motivadas económicamente y no vinculadas a operaciones tradicionales de ciberespionaje patrocinadas por el Estado.