Um grupo de crimes cibernéticos de língua chinesa expandiu suas operações para a Europa, implantando um carregador de malware anteriormente não documentado junto com o trojan de acesso remoto Atlas (RAT) em campanhas direcionadas a organizações de vários países, segundo pesquisadores de segurança.
A atividade foi atribuída a um ator ameaçador rastreado como TA4922, um grupo financiamente motivado conhecido por realizar intrusões voltadas a fraudes, roubo de dados e venda de acesso à rede. Pesquisadores afirmam que o grupo historicamente focou em alvos na Ásia, mas recentemente deslocou parte de sua atenção para a Europa.
Segundo pesquisadores do ThreatLocker, o TA4922 tem mirado organizações na Alemanha, Itália, Reino Unido e outras regiões por meio de campanhas de phishing que entregam malware disfarçado de arquivos legítimos. Uma vez executado, o malware estabelece uma base no sistema da vítima e baixa cargas adicionais, incluindo a backdoor do Atlas RAT.
O Atlas RAT oferece aos atacantes controle extensivo sobre dispositivos infectados. O malware pode executar comandos, gerenciar arquivos, coletar informações do sistema e manter acesso persistente a sistemas comprometidos. Tais capacidades permitem que atores ameaçadores realizem reconhecimento, roubem dados sensíveis e, potencialmente, implantem malware adicional após o comprometimento inicial.
Pesquisadores também identificaram um componente de malware anteriormente não documentado usado nos ataques. O novo loader foi projetado para evitar a detecção enquanto entrega Atlas RAT e outras cargas maliciosas. Ao separar o processo de infecção em múltiplas etapas, os atacantes podem dificultar a análise e reduzir a probabilidade de produtos de segurança detectarem toda a cadeia de ataques.
Analistas de inteligência de ameaças observaram que o TA4922 opera em ritmo acelerado, lançando inúmeras campanhas e modificando frequentemente suas ferramentas. A infraestrutura e o arsenal de malware do grupo evoluíram ao longo do tempo, permitindo que ele atenda a uma ampla gama de organizações enquanto se adapta aos controles de segurança e aos esforços de detecção.
A expansão para a Europa reflete uma tendência mais ampla em que grupos cibercriminosos operam cada vez mais além de fronteiras geográficas, em vez de focar em uma única região. Pesquisadores acreditam que as campanhas recentes do TA4922 são motivadas financeiramente, e não vinculadas às operações tradicionais de espionagem cibernética patrocinadas pelo Estado.