In sintesi
Un gruppo cybercriminale di lingua cinese, noto come TA4922, ha intensificato e ampliato le sue operazioni, prendendo di mira entità europee come Germania, Italia e Regno Unito, oltre al Sud Africa. Questo attore di minacce, già attivo nell’Asia orientale, sta impiegando un arsenale di malware precedentemente non documentato, inclusi il nuovo trojan di accesso remoto (RAT) Atlas RAT e RomulusLoader. L’espansione geografica e la diversificazione delle tattiche segnano un incremento significativo dell’attività del gruppo, che Proofpoint descrive come autore di più campagne uniche rispetto a qualsiasi altro attore cybercriminale tracciato, evidenziando una minaccia crescente per le organizzazioni.
Le attività di TA4922 sono state osservate in forte aumento da marzo 2026, mostrando una diversità operativa e un ritmo elevato da aprile, come riportato dai ricercatori di Proofpoint in data 3 giugno 2026. Sebbene il gruppo sia primariamente motivato finanziariamente (mirando a frodi, furto di dati e vendita di accessi), le capacità dei malware includono funzionalità di sorveglianza potenzialmente impiegabili per spionaggio. Gli attaccanti utilizzano esche di phishing altamente localizzate, che imitano avvisi di buste paga, verifiche fiscali, dichiarazioni IVA, comunicazioni governative e HR. Il contatto con le vittime avviene anche tramite WhatsApp, LINE e Microsoft Teams. Proofpoint sospetta l’utilizzo di Large Language Models (LLMs) per accelerare lo sviluppo dei malware, basandosi su pattern di codice tipici della generazione AI.
L’arsenale di TA4922 è notevolmente ampliato e sofisticato. Tra i nuovi strumenti spicca Atlas RAT, un trojan di accesso remoto che offre capacità estese come ricognizione del sistema, furto mirato di file, download di plugin e payload, keylogging, cattura di screenshot, registrazione audio e webcam, e comandi di spegnimento/riavvio. Questo malware integra controlli anti-sandbox e anti-analisi per eludere il rilevamento. È stato identificato anche RomulusLoader, un nuovo loader che esegue payload aggiuntivi tramite tecniche avanzate (come process hollowing e shellcode injection), e SilentRunLoader, uno stealer basato su Python che sottrae credenziali, cookie e dati di navigazione da Google Chrome. Infine, il gruppo utilizza Winos4.0 (tracciato come ValleyRAT), con funzionalità complete di accesso remoto.
Per le organizzazioni che trattano dati personali, queste attività rappresentano una minaccia diretta con implicazioni significative per la protezione dei dati e la compliance normativa. Il furto di dati e la potenziale sorveglianza possono portare a gravi data breach, con conseguenti violazioni del Regolamento Generale sulla Protezione dei Dati (GDPR) e, per le entità che rientrano nell’ambito della Direttiva NIS2, a ulteriori obblighi di notifica e requisiti di sicurezza. La conformità a standard come ISO 27001 è cruciale per stabilire un robusto Sistema di Gestione della Sicurezza delle Informazioni (SGSI). Per rafforzare le difese, è fondamentale implementare una formazione continua del personale per riconoscere tentativi di phishing, l’adozione di un approccio “Zero Trust”, l’aggiornamento costante dei sistemi e l’implementazione di soluzioni di sicurezza avanzate come Endpoint Detection and Response (EDR). Il testo suggerisce inoltre di condurre simulazioni di attacco e test di breach and attack (BAS) per valutare l’efficacia dei sistemi SIEM ed EDR.