TA4922 вышла за пределы Азии: фишинговая группа крадет данные Chrome

Киберпреступная группа TA4922, которую исследователи Proofpoint отслеживают с весны 2025 года, расширила географию атак. Раньше ее активность чаще фиксировали в Японии и других странах Восточной и Юго-Восточной Азии. В новых кампаниях появились цели в Великобритании, Германии, Италии и ЮАР.

Группа также обновила инструменты: в рассылках появились Atlas RAT, RomulusLoader и SilentRunLoader. Часть кампаний ведет к установке легальных программ удаленного администрирования, включая AnyDesk и китайский инструмент SyncFuture.

TA4922 работает как финансово мотивированный оператор доступа. Цель — попасть в корпоративную сеть, закрепиться, украсть данные, продать доступ или использовать его для мошенничества. В отчетах группу описывают как китайскоязычную и, вероятно, связанную с экосистемой Silver Fox / Void Arachne. 

Сценарий атаки начинается с письма, ссылки или архива. Темы подбирают под страну и рабочий контекст. В Японии использовались письма от имени кадровых отделов с уведомлениями о зарплате и изменениях в персонале. В Германии встречались приманки про налоговую проверку и расчетные листки. В Великобритании — письма от имени налоговых служб, упоминания НДС, платежных документов и требований по отчетности.

Атакующие любят переносить разговор из почты в мессенджеры. В письмах жертву могут просить продолжить общение в LINE, WhatsApp или Microsoft Teams. Для злоумышленников это удобнее: корпоративные почтовые шлюзы уже не видят переписку, а сотрудник психологически воспринимает диалог как более доверительный.

Размер кампаний обычно не гигантский. Речь идет о рассылках от нескольких сотен до нескольких тысяч сообщений. Такая тактика помогает подгонять тексты под регион, язык и роль сотрудника.

6 марта 2026 года исследователи зафиксировали рассылку по японским организациям. Письма имитировали внутренние HR-уведомления и вели на ZIP-архив с названием, которое переводится как «уведомление о корректировке зарплаты». Внутри находились исполняемый файл и вредоносная DLL-библиотека. При запуске срабатывала техника DLL sideloading: легитимная программа загружала подложенную библиотеку, после чего устанавливался Atlas RAT.

2 апреля похожая кампания уже затронула Великобританию и Германию. Приманки снова были кадровыми: «бумаги на подтверждение», «HR-документы», «рутинная проверка». Ссылки вели на архивы Paperwork.zip и HR (2).zip. Внутри снова лежали исполняемый файл и DLL, которые запускали Atlas RAT.

7 апреля тема сменилась на электронные счета. В японской кампании жертвам присылали ZIP-архив с IMG-образом. После монтирования образа пользователь видел исполняемый файл. Запуск приводил к установке Atlas RAT через ту же технику подмены DLL.

23 марта появился RomulusLoader — новый загрузчик, написанный на C. Его задача — получить команды от управляющего сервера и подтянуть следующий вредоносный компонент. Его доставляли через ZIP-архивы, размещенные на файловых сервисах. Внутри находились легитимный исполняемый файл, DLL и вредоносный бинарный фрагмент. В ряде образцов компоненты маскировались под элементы Vulkan Loader — части экосистемы Vulkan, графического API для низкоуровневой работы с GPU.

В середине апреля RomulusLoader использовали уже как первую ступень для установки AnyDesk и SyncFuture. Это важный момент: многие атаки сразу доставляют программу удаленного управления как первый вредоносный шаг. TA4922 сначала ставит собственный загрузчик, а потом через него разворачивает RMM-инструмент. Так оператор получает больше контроля над цепочкой и может выбирать, что ставить дальше.

30 марта исследователи увидели SilentRunLoader — скомпилированный Python-загрузчик и похититель данных. Он крадет из Google Chrome сохраненные учетные данные, cookie и данные профиля браузера, а затем отправляет их на сервер атакующих. 10 апреля похожая кампания затронула Юго-Восточную Азию и Великобританию. В письмах использовались темы пособий, выплат и соответствия требованиям. Ссылки через сокращатель srt.tw вели на ZIP- или RAR-архивы на MediaFire.

Наиболее часто TA4922 бьет по Японии. Дополнительная активность замечена в Тайване, Южной Корее, Сингапуре, Индии, Малайзии, Индонезии. Новая волна расширила список до Великобритании, Германии, Италии и ЮАР. В отдельных кампаниях приманки адаптировали под местные налоговые органы, кадровые процессы и деловой язык.