Un gruppo di cybercriminalità di lingua cinese ha ampliato le sue operazioni in Europa, implementando un malware loader precedentemente non documentato insieme al trojan di accesso remoto Atlas (RAT) in campagne rivolte a organizzazioni di diversi paesi, secondo i ricercatori di sicurezza.
L’attività è stata attribuita a un attore minaccioso tracciato come TA4922, un gruppo motivato finanziariamente noto per condurre intrusioni volte a frodi, furto di dati e vendita di accesso alla rete. I ricercatori affermano che il gruppo si è storicamente concentrato su obiettivi in Asia, ma recentemente ha spostato parte della sua attenzione verso l’Europa.
Secondo i ricercatori di ThreatLocker, TA4922 ha preso di mira organizzazioni in Germania, Italia, Regno Unito e altre regioni attraverso campagne di phishing che consegnano malware mascherato da file legittimi. Una volta eseguito, il malware stabilisce una presenza sul sistema della vittima e scarica payload aggiuntivi, incluso il backdoor Atlas RAT.
Atlas RAT offre agli attaccanti un ampio controllo sui dispositivi infetti. Il malware può eseguire comandi, gestire file, raccogliere informazioni di sistema e mantenere un accesso persistente ai sistemi compromessi. Tali capacità permettono agli attori della minaccia di condurre ricognizioni, rubare dati sensibili e potenzialmente dispiegare ulteriore malware dopo la compromessa iniziale.
I ricercatori hanno inoltre identificato un componente malware precedentemente non documentato utilizzato negli attacchi. Il nuovo loader è progettato per eludere il rilevamento mentre consegna Atlas RAT e altri payload dannosi. Dividendo il processo di infezione in più fasi, gli attaccanti possono rendere l’analisi più difficile e ridurre la probabilità che i prodotti di sicurezza rilevino l’intera catena di attacco.
Gli analisti di intelligence sulle minacce hanno osservato che TA4922 opera a ritmo elevato, lanciando numerose campagne e modificando frequentemente i suoi strumenti. L’infrastruttura e l’arsenale di malware del gruppo si sono evoluti nel tempo, permettendogli di colpire un’ampia gamma di organizzazioni adattandosi ai controlli di sicurezza e agli sforzi di rilevamento.
L’espansione in Europa riflette una tendenza più ampia in cui i gruppi di criminali informatici operano sempre più spesso oltre confini geografici invece di concentrarsi su una singola regione. I ricercatori ritengono che le recenti campagne di TA4922 siano motivate finanziariamente piuttosto che collegate alle tradizionali operazioni di spionaggio cibernetico sponsorizzate dallo Stato.