www.whizpr.nlwww.marcommit.nlProgressCommunications.eu
www.deepr.nlwww.whizpr.nlwww.deepr.nl

Volg ook via:

TA4922: de vermoedelijke Chinese criminele organisatie breidt zich wereldwijd uit

Het Chinese cybercriminele ecosysteem is de afgelopen jaren explosief gegroeid. Veel van de waargenomen dreigingen in dit landschap komen voort uit malware die voor het eerst werd ingezet door Chinese spionageactoren, met name Gh0stRAT en aanverwante payloads. Deze richtten zich vaak op Chinees sprekende gebruikers. Maar naarmate Chinees sprekende cybercriminelen hun vaardigheden op het gebied van malware, social engineering en wereldwijde targeting verder ontwikkelen, breidt hun invloedssfeer zich uit en ontstaan er steeds meer clusters van actoren. Onderzoekers van Proofpoint hebben zich verdiept in TA4922, een nieuw aangewezen Chinees sprekende dreigingsactor die zich voornamelijk richt op Oost-Azië.

Deze actor onderscheidt zich door de grote verscheidenheid aan lokmiddelen, doelwitten en doelstellingen. TA4922 verspreidt malware, pleegt phishing om inloggegevens te stelen en pleegt fraude, zoals creditcarddiefstal. Cybercriminelen hebben soms meerdere doelstellingen zoals phishing om fraude mogelijk te maken. De consistentie waarmee TA4922 uiteenlopende campagnes, payloads en doelstellingen hanteert, maakt deze actor tot een van de meest unieke die door Proofpoint wordt gevolgd.

De activiteiten van TA4922 vertonen overlappingen op het gebied van tools, infrastructuur en social engineering met activiteiten die door andere onderzoekers worden aangeduid als Silver Fox of Void Arachne. Ondanks de karakteristieke spionagetrekjes en de geavanceerde werkwijze van de actor, is Proofpoint van mening dat de campagnes die aan TA4922 worden toegeschreven meer aansluiten bij de doelstellingen van cybercriminelen. De activiteiten komen niet één op één overeen met die van Silver Fox of Void Arachne. Daarom volgt Proofpoint deze actor als een afzonderlijk dreigingscluster.

Vanaf het voorjaar van 2025 heeft Proofpoint kwaadaardige e-mailcampagnes gevolgd die in verband worden gebracht met TA4922. Op basis van Proofpoints analyse van e-mails, doelgroepen en inhoud lijkt de dader financieel gemotiveerd te zijn. Deze richt zich op het verkrijgen van toegang op afstand tot de systemen van slachtoffers met het oog op financieel gewin zoals gegevensdiefstal, fraude, het doorverkopen van toegangsrechten of het verkrijgen van blijvende toegang.

In maart en april 2026 identificeerde Proofpoint een reeks campagnes die de ontwikkeling van de malware-tools van TA4922 laten zien. Het tempo van de activiteiten van deze actor nam in maart en april 2026 drastisch toe. Bij deze waargenomen campagnes maakte de actor voornamelijk gebruik van lokmiddelen rond personeels- en zakelijke thema’s. Zo leverden zij credential phishing, fraude en malware, waaronder de nieuw geïdentificeerde Atlas RAT. De campagnes maakten ook gebruik van nieuwe loaderfamilies die Proofpoint aanduidt als RomulusLoader en SilentRunLoader. RomulusLoader wordt gebruikt om aanvullende tools te installeren, waaronder legitieme remote managementsoftware (RMM) als AnyDesk en SyncFuture. De diverse payloads die de afgelopen maanden zijn waargenomen, vormen een belangrijke verandering in de tactieken, technieken en procedures (TTP's) van de actor.

De belangrijkste bevindingen van het onderzoek:
  • TA4922 is een zeer geavanceerde cybercrimineel die zich kenmerkt door een hoog operationeel tempo en een voortdurend evoluerend arsenaal aan malware.
  • De groep maakt gebruik van verschillende malwarefamilies, waaronder Atlas RAT, RomulusLoader, SilentRunLoader en ValleyRAT (Winos4.0).
  • TA4922 maakt gebruik van lokberichten die per regio zijn aangepast en vaak betrekking hebben op HR, salarisadministratie, belastingen en facturering om slachtoffers in verschillende regio’s te misleiden. De afgelopen maanden heeft de activiteit van deze cybercrimineel zich wereldwijd naar meer landen uitgebreid, waaronder landen in Europa en Afrika.
  • De actor combineert kwaadaardige activiteiten met legitieme tools, vertrouwde software en cloudhostingservices, waardoor detectie en verdediging moeilijker worden.
TA4922 voert momenteel meer unieke campagnes uit dan elke andere cybercriminele actor in de dreigingsdata van Proofpoint. Dit wijst op een hoog operationeel tempo, een breed scala aan lokmiddelen en meerdere doelstellingen. Hoewel wordt geacht dat de actor financieel gemotiveerd is, biedt de malware ook mogelijkheden voor surveillance die door spionagegroepen kunnen worden gebruikt of aan hen kunnen worden verkocht.

Proofpoint constateerde aanvankelijk dat de actor zich richtte op organisaties in Oost-Azië, maar heeft zijn werkterrein inmiddels uitgebreid naar tal van Europese landen, met name in 2026. De actor lijkt goed georganiseerd, maakt gebruik van zeer gerichte lokmiddelen en verspreidt zelden per ongeluk campagnes (Bijvoorbeeld door Italiaanstalige lokmiddelen in te zetten in Japan).

Het mondiale karakter van deze actor laat zien dat organisaties zich bewust moeten zijn van opkomende en complexe dreigingen, ongeacht of deze geografisch gericht zijn. Dit soort actoren kan zijn tactieken op elk moment snel uitbreiden en opschalen om meer doelwitten te bereiken.
Recent van Proofpoint  
TA4922: de vermoedelijke Chinese criminele organisatie breidt zich wereldwijd uit

Proofpoint en IBM X-Force ondersteunen verstoring van Operation Endgame

Proofpoint sluit zich aan bij OpenAI Daybreak Cyber Partner Program om verantwoorde, door AI aangestuurde cyberverdediging te bevorderen
Proofpoint contact  


Marcommit is hét full service B2B marketing bureau van Nederland! Wij helpen jouw bedrijf met offline en online marketing campagnes die écht werken.
 Spotlight  
Logo NetRom Software
Logo RAVI RYAN MOHANLAL
Logo BTG
Logo NHA Opleidingen
Logo Polly.Help
Logo MI Consultancy
Logo Incentro
Logo Stromma Nederland
Logo Fairbanks
Logo Valid
Logo Westpoort
Logo Brownies.nl
Logo Nextview
Logo Examencentrum
Logo Keuze.nl BV
Logo We talk SEO B.V.
Logo Victoria ID
Logo DNA Services B.V.
Logo Twenty Four Webvertising
Logo Web Wings
Logo Web Wings
Logo BusinessCom
Logo Msafe
Logo SCOS ViaCloud BV
Logo Keuze.nl BV
Logo Spryng
Logo BusinessCom
Logo Web Wings
Logo Web Wings
Logo Web Wings
Logo EPAM Systems
Logo osapiens
Logo Youforce
Logo Veeam Software
Logo Wuunder
Logo SureSync
Logo Proofpoint
Logo Techleap.nl
Logo NetApp
Logo Keepit
Logo Workday
Logo We talk SEO B.V.
Logo Buckaroo B.V.
Logo ENGIE
Logo Exact
TARIEVEN
Publicatie eenmalig €49

PUBLICATIEBUNDELS
6 voor €199
12 voor €349
Onbeperkt €499

EENMALIG PLAATSEN
Persbericht aanleveren

REGELMATIG PLAATSEN
Bedrijfsabonnement
CONTACT
Persberichten.com
JMInternet
Kuyperstraat 48
7942 BR Meppel
Nederland
info@persberichten.com
KvK 54178096

VOLGEN
@ICTBERICHTEN

ZOEKEN
IT bedrijf
IT PR-bureau
OVER ONS
Persberichten.com, hét platform voor IT/Tech persberichten

DATABASE
103868 persberichten
7044 bedrijfsprofielen
60 PR-bureauprofielen
17548 tags

KENMERKEN
• Behouden tekstopmaak
• Foto/illustratie/logo
• Downloadbare bijlages
• Profiel met socials
 
www.whizpr.nlwww.marcommit.nlProgressCommunications.eu
ProgressCommunications.euINFLUX PRwww.whizpr.nl