Een Chineessprekende cybercrimegroep heeft haar activiteiten uitgebreid naar Europa en heeft een voorheen ongedocumenteerde malwareloader ingezet naast de Atlas remote access trojan (RAT) in campagnes die organisaties in meerdere landen targeten, volgens beveiligingsonderzoekers.
De activiteit wordt toegeschreven aan een dreigingsactor die wordt getraceerd als TA4922, een financieel gemotiveerde groep die bekendstaat om het uitvoeren van inbraken gericht op fraude, datadiefstal en de verkoop van netwerktoegang. Onderzoekers zeggen dat de groep zich historisch gezien heeft gericht op doelen in Azië, maar recentelijk een deel van haar aandacht naar Europa heeft verlegd.
Volgens onderzoekers van ThreatLocker richt TA4922 zich op organisaties in Duitsland, Italië, het Verenigd Koninkrijk en andere regio’s via phishingcampagnes die malware verspreiden die zich voordoet als legitieme bestanden. Eenmaal uitgevoerd vestigt de malware een voet aan de grond op het systeem van het slachtoffer en downloadt extra payloads, waaronder de Atlas RAT-backdoor.
Atlas RAT biedt aanvallers uitgebreide controle over geïnfecteerde apparaten. De malware kan commando’s uitvoeren, bestanden beheren, systeeminformatie verzamelen en blijvende toegang tot gecompromitteerde systemen behouden. Dergelijke mogelijkheden stellen dreigingsactoren in staat om verkenning uit te voeren, gevoelige gegevens te stelen en mogelijk extra malware uit te rollen na de initiële compromittering.
Onderzoekers identificeerden ook een eerder ongedocumenteerd malwarecomponent die bij de aanvallen werd gebruikt. De nieuwe loader is ontworpen om detectie te vermijden terwijl hij Atlas RAT en andere kwaadaardige ladingen aflevert. Door het infectieproces op te splitsen in meerdere fasen, kunnen aanvallers analyse bemoeilijken en de kans verkleinen dat beveiligingsproducten de volledige aanvalketen detecteren.
Dreigingsintelligentie-analisten merkten op dat TA4922 in hoog tempo opereert, talrijke campagnes lanceert en zijn tools regelmatig aanpast. De infrastructuur en het arsenaal van malware van de groep zijn in de loop der tijd geëvolueerd, waardoor het een breed scala aan organisaties kan targeten terwijl het zich aanpast aan beveiligingsmaatregelen en detectie.
De uitbreiding naar Europa weerspiegelt een bredere trend waarbij cybercriminele groepen steeds vaker over geografische grenzen opereren in plaats van zich op één enkele regio te richten. Onderzoekers denken dat de recente campagnes van TA4922 financieel gemotiveerd zijn in plaats van gekoppeld aan traditionele, door de staat gesponsorde cyberspionageoperaties.