Auf einen Blick
Eine chinesischsprachige Cyberkriminalitätsgruppe, bekannt als TA4922, hat ihre Operationen intensiviert und ausgeweitet und zielt dabei auf europäische Entitäten wie Deutschland, Italien und das Vereinigte Königreich sowie Südafrika ab. Dieser Bedrohungsakteur, bereits in Ostasien aktiv, setzt ein zuvor undokumentiertes Malware-Arsenal ein, darunter den neuen Remote Access Trojan (RAT) Atlas RAT und RomulusLoader. Die geografische Expansion und die Diversifizierung der Taktiken markieren eine deutliche Zunahme der Aktivitäten der Gruppe, die Proofpoint als Urheber von mehr einzigartigen Kampagnen beschreibt als jeder andere nachverfolgte Cyberkriminalitätsakteur, was eine wachsende Bedrohung für Organisationen darstellt.
Die Aktivitäten von TA4922 wurden seit März 2026 stark zunehmend beobachtet, wobei sie seit April eine operationelle Vielfalt und ein hohes Tempo zeigen, wie von Proofpoint-Forschern am 3. Juni 2026 berichtet wurde. Obwohl die Gruppe primär finanziell motiviert ist (mit dem Ziel von Betrug, Datendiebstahl und dem Verkauf von Zugängen), umfassen die Fähigkeiten der Malware auch Überwachungsfunktionen, die potenziell für Spionage eingesetzt werden könnten. Die Angreifer setzen stark lokalisierte Phishing-Köder ein, die Gehaltsabrechnungsmitteilungen, Steuerprüfungen, Mehrwertsteuererklärungen, Regierungs- und HR-Kommunikationen imitieren. Der Kontakt zu den Opfern erfolgt auch über WhatsApp, LINE und Microsoft Teams. Proofpoint vermutet den Einsatz von Large Language Models (LLMs), um die Entwicklung der Malware zu beschleunigen, basierend auf typischen Code-Mustern der KI-Generierung.
Das Arsenal von TA4922 ist erheblich erweitert und anspruchsvoll. Unter den neuen Tools sticht Atlas RAT hervor, ein Remote Access Trojan, der erweiterte Funktionen wie Systemaufklärung, gezielten Dateidiebstahl, das Herunterladen von Plugins und Payloads, Keylogging, das Erfassen von Screenshots, Audio- und Webcam-Aufnahmen sowie Neustart-/Herunterfahrbefehle bietet. Diese Malware integriert Anti-Sandbox- und Anti-Analyse-Kontrollen, um die Erkennung zu umgehen. Es wurde auch RomulusLoader identifiziert, ein neuer Loader, der zusätzliche Payloads über fortgeschrittene Techniken (wie Process Hollowing und Shellcode Injection) ausführt, und SilentRunLoader, ein Python-basierter Stealer, der Anmeldeinformationen, Cookies und Navigationsdaten von Google Chrome stiehlt. Schließlich nutzt die Gruppe Winos4.0 (verfolgt als ValleyRAT) mit umfassenden Remote-Access-Funktionen.
Für Organisationen, die personenbezogene Daten verarbeiten, stellen diese Aktivitäten eine direkte Bedrohung mit erheblichen Auswirkungen auf den Datenschutz und die regulatorische Compliance dar. Datendiebstahl und potenzielle Überwachung können zu schwerwiegenden Datenschutzverletzungen führen, mit daraus resultierenden Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) und, für Entitäten, die in den Anwendungsbereich der NIS2-Richtlinie fallen, zu weiteren Meldepflichten und Sicherheitsanforderungen. Die Einhaltung von Standards wie ISO 27001 ist entscheidend für den Aufbau eines robusten Informationssicherheits-Managementsystems (ISMS). Um die Abwehrmaßnahmen zu stärken, ist es unerlässlich, das Personal kontinuierlich zu schulen, um Phishing-Versuche zu erkennen, die Einführung eines „Zero Trust“-Ansatzes, die ständige Aktualisierung der Systeme und die Implementierung fortschrittlicher Sicherheitslösungen wie Endpoint Detection and Response (EDR). Der Text schlägt außerdem vor, Angriffssimulationen und Breach and Attack Simulation (BAS)-Tests durchzuführen, um die Wirksamkeit von SIEM- und EDR-Systemen zu bewerten.