Un groupe de cybercriminalité sinophone a étendu ses opérations en Europe, déployant un chargeur de malwares auparavant non documenté aux côtés du cheval de Troie d’accès à distance Atlas (RAT) dans des campagnes ciblant des organisations de plusieurs pays, selon des chercheurs en sécurité.
Cette activité a été attribuée à un acteur malveillant suivi sous le nom de TA4922, un groupe motivé financièrement connu pour mener des intrusions visant à la fraude, au vol de données et à la vente d’accès réseau. Les chercheurs affirment que le groupe s’est historiquement concentré sur des cibles en Asie, mais a récemment déplacé une partie de son attention vers l’Europe.
Selon des chercheurs de ThreatLocker, TA4922 vise des organisations en Allemagne, en Italie, au Royaume-Uni et dans d’autres régions via des campagnes de phishing qui diffusent des malwares déguisés en fichiers légitimes. Une fois exécuté, le malware s’installe dans le système de la victime et télécharge des charges utiles supplémentaires, y compris la porte dérobée Atlas RAT.
Atlas RAT offre aux attaquants un contrôle étendu sur les dispositifs infectés. Le malware peut exécuter des commandes, gérer des fichiers, recueillir des informations système et maintenir un accès persistant aux systèmes compromis. De telles capacités permettent aux acteurs malveillants de mener des reconnaissances, de voler des données sensibles et potentiellement de déployer des logiciels malveillants supplémentaires après la compromission initiale.
Les chercheurs ont également identifié un composant de malware jusque-là non documenté utilisé lors des attaques. Le nouveau chargeur est conçu pour échapper à la détection lors de la livraison d’Atlas RAT et d’autres charges utiles malveillantes. En séparant le processus d’infection en plusieurs étapes, les attaquants peuvent rendre l’analyse plus difficile et réduire la probabilité que les produits de sécurité détectent l’ensemble de la chaîne d’attaque.
Les analystes du renseignement sur les menaces ont noté que TA4922 fonctionne à un rythme soutenu, lançant de nombreuses campagnes et modifiant fréquemment ses outils. L’infrastructure et l’arsenal de logiciels malveillants du groupe ont évolué au fil du temps, lui permettant de cibler un large éventail d’organisations tout en s’adaptant aux contrôles de sécurité et aux efforts de détection.
L’expansion en Europe reflète une tendance plus large où les groupes de cybercriminalité opèrent de plus en plus au-delà des frontières géographiques plutôt que de se concentrer sur une seule région. Les chercheurs estiment que les campagnes récentes de TA4922 sont motivées financièrement plutôt que liées aux opérations traditionnelles de cyberespionnage parrainées par l’État.