Het Chinese cybercriminele ecosysteem is de afgelopen jaren explosief gegroeid. Veel van de waargenomen dreigingen in dit landschap komen voort uit malware die voor het eerst werd ingezet door Chinese spionageactoren, met name Gh0stRAT en aanverwante payloads. Deze richtten zich vaak op Chinees sprekende gebruikers. Maar naarmate Chinees sprekende cybercriminelen hun vaardigheden op het gebied van malware, social engineering en wereldwijde targeting verder ontwikkelen, breidt hun invloedssfeer zich uit en ontstaan er steeds meer clusters van actoren. Onderzoekers van Proofpoint hebben zich verdiept in TA4922, een nieuw aangewezen Chinees sprekende dreigingsactor die zich voornamelijk richt op Oost-Azië.
Deze actor onderscheidt zich door de grote verscheidenheid aan lokmiddelen, doelwitten en doelstellingen. TA4922 verspreidt malware, pleegt phishing om inloggegevens te stelen en pleegt fraude, zoals creditcarddiefstal. Cybercriminelen hebben soms meerdere doelstellingen zoals phishing om fraude mogelijk te maken. De consistentie waarmee TA4922 uiteenlopende campagnes, payloads en doelstellingen hanteert, maakt deze actor tot een van de meest unieke die door Proofpoint wordt gevolgd.
De activiteiten van TA4922 vertonen overlappingen op het gebied van tools, infrastructuur en social engineering met activiteiten die door andere onderzoekers worden aangeduid als Silver Fox of Void Arachne. Ondanks de karakteristieke spionagetrekjes en de geavanceerde werkwijze van de actor, is Proofpoint van mening dat de campagnes die aan TA4922 worden toegeschreven meer aansluiten bij de doelstellingen van cybercriminelen. De activiteiten komen niet één op één overeen met die van Silver Fox of Void Arachne. Daarom volgt Proofpoint deze actor als een afzonderlijk dreigingscluster.
Vanaf het voorjaar van 2025 heeft Proofpoint kwaadaardige e-mailcampagnes gevolgd die in verband worden gebracht met TA4922. Op basis van Proofpoints analyse van e-mails, doelgroepen en inhoud lijkt de dader financieel gemotiveerd te zijn. Deze richt zich op het verkrijgen van toegang op afstand tot de systemen van slachtoffers met het oog op financieel gewin zoals gegevensdiefstal, fraude, het doorverkopen van toegangsrechten of het verkrijgen van blijvende toegang.
In maart en april 2026 identificeerde Proofpoint een reeks campagnes die de ontwikkeling van de malware-tools van TA4922 laten zien. Het tempo van de activiteiten van deze actor nam in maart en april 2026 drastisch toe. Bij deze waargenomen campagnes maakte de actor voornamelijk gebruik van lokmiddelen rond personeels- en zakelijke thema’s. Zo leverden zij credential phishing, fraude en malware, waaronder de nieuw geïdentificeerde Atlas RAT. De campagnes maakten ook gebruik van nieuwe loaderfamilies die Proofpoint aanduidt als RomulusLoader en SilentRunLoader. RomulusLoader wordt gebruikt om aanvullende tools te installeren, waaronder legitieme remote managementsoftware (RMM) als AnyDesk en SyncFuture. De diverse payloads die de afgelopen maanden zijn waargenomen, vormen een belangrijke verandering in de tactieken, technieken en procedures (TTP's) van de actor.
De belangrijkste bevindingen van het onderzoek:
- TA4922 is een zeer geavanceerde cybercrimineel die zich kenmerkt door een hoog operationeel tempo en een voortdurend evoluerend arsenaal aan malware.
- De groep maakt gebruik van verschillende malwarefamilies, waaronder Atlas RAT, RomulusLoader, SilentRunLoader en ValleyRAT (Winos4.0).
- TA4922 maakt gebruik van lokberichten die per regio zijn aangepast en vaak betrekking hebben op HR, salarisadministratie, belastingen en facturering om slachtoffers in verschillende regio’s te misleiden. De afgelopen maanden heeft de activiteit van deze cybercrimineel zich wereldwijd naar meer landen uitgebreid, waaronder landen in Europa en Afrika.
- De actor combineert kwaadaardige activiteiten met legitieme tools, vertrouwde software en cloudhostingservices, waardoor detectie en verdediging moeilijker worden.
TA4922 voert momenteel meer unieke campagnes uit dan elke andere cybercriminele actor in de dreigingsdata van Proofpoint. Dit wijst op een hoog operationeel tempo, een breed scala aan lokmiddelen en meerdere doelstellingen. Hoewel wordt geacht dat de actor financieel gemotiveerd is, biedt de malware ook mogelijkheden voor surveillance die door spionagegroepen kunnen worden gebruikt of aan hen kunnen worden verkocht.
Proofpoint constateerde aanvankelijk dat de actor zich richtte op organisaties in Oost-Azië, maar heeft zijn werkterrein inmiddels uitgebreid naar tal van Europese landen, met name in 2026. De actor lijkt goed georganiseerd, maakt gebruik van zeer gerichte lokmiddelen en verspreidt zelden per ongeluk campagnes (Bijvoorbeeld door Italiaanstalige lokmiddelen in te zetten in Japan).
Het mondiale karakter van deze actor laat zien dat organisaties zich bewust moeten zijn van opkomende en complexe dreigingen, ongeacht of deze geografisch gericht zijn. Dit soort actoren kan zijn tactieken op elk moment snel uitbreiden en opschalen om meer doelwitten te bereiken.