Китайскоязычная группировка TA4922 расширяет арсенал и географию атак: новые загрузчики и трояны удалённого доступа

APT

Крупная китайскоязычная киберпреступная группировка, получившая обозначение TA4922, резко нарастила активность в первые месяцы 2026 года. Специалисты компании Proofpoint зафиксировали сразу несколько волн целевых атак, в ходе которых злоумышленники применяли как новые, ранее не встречавшиеся вредоносные программы, так и хорошо известные инструменты для удалённого управления. Основной целью группировки остаётся финансовая выгода: кража учётных данных, мошенничество, хищение конфиденциальной информации и даже перепродажа доступа к скомпрометированным сетям. Особую тревогу вызывает стремительное расширение географии жертв: если раньше TA4922 концентрировалась на странах Восточной Азии, то теперь её фишинговые письма получают организации в Великобритании, Германии, Италии и ЮАР.

Описание

Группировка действует с высокой оперативностью и использует разнообразные приманки. Чаще всего это сообщения, замаскированные под кадровые уведомления, расчётные листки, налоговые документы или счета-фактуры. Тексты писем тщательно локализованы: злоумышленники обращаются к жертвам на японском, английском, немецком и других языках, подражая официальному стилю конкретных ведомств или компаний. В самих посланиях нередко содержится призыв перейти по ссылке или скачать вложение. Иногда атакующие пытаются перевести общение в мессенджеры вроде LINE, WhatsApp или Microsoft Teams, чтобы обойти корпоративные фильтры электронной почты.

Весной 2026 года эксперты Proofpoint наблюдали сразу несколько кампаний с использованием совершенно новых загрузчиков, которые получили названия RomulusLoader и SilentRunLoader. Также в арсенале группировки появился полнофункциональный троян удалённого доступа Atlas RAT, который по своим возможностям напоминает известную платформу Winos4.0 (также называется ValleyRAT). Особенность новых угроз в том, что злоумышленники активно комбинируют вредоносный код с легитимными программами, например, с графическим API Vulkan или популярными средствами удалённого администрирования AnyDesk и SyncFuture. Это серьёзно усложняет выявление атак, потому что легитимные компоненты не вызывают подозрений у систем защиты.

RomulusLoader написан на языке C и представляет собой загрузчик, предназначенный для скачивания и выполнения следующего этапа атаки из командного центра злоумышленников. В ходе анализа выяснилось, что этот загрузчик маскируется под компоненты библиотеки Vulkan Loader. Пользователь получает ZIP-архив, внутри которого находятся исполняемый файл и вредоносная DLL. При запуске происходит подмена библиотеки (DLL-снайпинг): легитимная программа загружает модифицированную DLL, а та уже запускает сам загрузчик. RomulusLoader проверяет, обладает ли он правами администратора, после чего копирует себя в папку "C:\Program Files\Common Files" для закрепления в системе. Затем он внедряет свои процессы в легитимные системные службы, например, в svchost.exe, а исходный процесс завершает. Связь с командным сервером устанавливается по протоколу HTTP. В ответ сервер может прислать полезную нагрузку: шелл-код, который внедряется в работающий процесс, или исполняемый файл, который записывается на диск.

SilentRunLoader - ещё один новый инструмент группировки, написанный на Python и скомпилированный в исполняемый файл. Его название переводится как "тихий запуск и загрузка", и он действительно выполняет две задачи: скачивает дополнительный вредоносный компонент, а затем похищает данные из браузера Google Chrome - сохранённые пароли, cookie-файлы и историю посещений. Вся информация упаковывается в архив и отправляется на сервер злоумышленников. Примечательно, что в коде этого загрузчика обнаружена строка-заполнитель "your_secret_key_here", которую атакующие не заменили. По мнению аналитиков, это указывает на то, что код был сгенерирован большой языковой моделью (LLM) и практически не дорабатывался. TA4922, судя по всему, активно использует нейросети для быстрого создания новых вредоносных программ.

Atlas RAT представляет собой многоступенчатый бэкдор, который после установки может выполнять десятки команд. Он обладает функциями записи звука и видео, захвата нажатий клавиш, снятия скриншотов, управления файлами и даже перезагрузки системы. Перед запуском троян проводит тщательную проверку: не работает ли он в изолированной среде Microsoft Defender Application Guard, нет ли признаков контейнера Windows или виртуальной машины. Если какие-то из этих тестов указывают на анализ, вредонос завершает свою работу. Atlas RAT общается с командным центром по протоколу TCP, используя уникальную строку "SFuck" для идентификации. После получения основного модуля троян сохраняет конфигурацию в папку "Documents", а затем начинает опрос сервера на предмет новых заданий. Управление реализовано так, что злоумышленники могут выборочно загружать плагины - например, для атак на определённые программы (в одном из образцов обнаружена инъекция DLL в процесс WeChat).

В отчёте Proofpoint подчёркивается, что TA4922 не следует путать с другими известными кластерами, такими как Silver Fox или Void Arachne, хотя между ними есть пересечения по инструментам и инфраструктуре. Эксперты оценивают, что эта группировка действует именно в киберпреступной среде, а не в сфере государственного шпионажа. Однако возможности её вредоносных программ, включая полный контроль над заражёнными устройствами, могут быть использованы или проданы третьим сторонам, в том числе разведывательным структурам.

Активность TA4922 продолжает расти. За январь - май 2026 года аналитики зафиксировали десятки кампаний, каждая из которых была относительно небольшой - от нескольких сотен до нескольких тысяч писем. Но именно такой подход, когда атаки нацелены на конкретные компании и даже отделы, делает защиту особенно сложной. Злоумышленники тщательно изучают структуру организаций, подбирают подходящие темы и используют легитимные облачные сервисы для хранения вредоносных файлов. В результате традиционные средства защиты электронной почты далеко не всегда могут распознать угрозу.

Для противодействия TA4922 специалисты рекомендуют усилить контроль за выполнением программ из временных папок, ограничить права локальных администраторов и настроить систему разрешений на использование легитимных удалённых инструментов администрирования. Однако главным выводом остаётся то, что глобальный ландшафт киберугроз меняется: раньше подобные группировки действовали локально, теперь же они готовы атаковать компании по всему миру, адаптируя свои письма под язык и культуру жертвы. И скорость, с которой TA4922 внедряет новые вредоносные программы, говорит о высоком уровне организации и доступе к современным технологиям, включая искусственный интеллект.

Индикаторы компрометации

IPv4

  • 103.214.172.33
  • 154.211.86.110
  • 18.139.83.110
  • 206.238.115.58
  • 43.156.77.97

URLs

  • https://nwphotoblog.com
  • https://ws.ztts88.cyou/file/cg.exe
  • https://ws.ztts88.cyou/upload.php

SHA256

  • 0857148fb0bc4aa7adf967ede2307bdb4fc427065d5b6a6db132688a5a8e1eb8
  • 2d2a251a88632f010fd9671789746908eeccaa5bc5c0a5d25e4649efe4f5b15d
  • 3119cf37b8267db8a2dcd11d9a83d5237d7ef1e42388e7c9afa2831b91da8a2d
  • 314f4b59535d1b783e1c20c2be00f9e30f8ed27b2e21fad06a73b47ea43279ef
  • 40b41979b317406f8abc601677a3b93aaf6ef8ab8ac188b8f383735e388f13b5
  • 4fcfa88fffacbce30bbe2136753c9ab5a4c092940d2406fd9d44d5118e745b9d
  • 584a9448dda46bd590d7a2f86228100d2ae6e0d6d990c1a4459ed5ee28e07ae8
  • 66a3836b9a17771bce2161f6b73cbc2494a91e49d6aa30d2d53711e8d10de60d
  • 8c9b6542f73c5c7fe455b52f5101314407da4f65ff48e7ebf6896605e607c8d0
  • 9d0a55c545c4147956db2c2667c4ed931a2875309147548b1dfdd216228f5f73
  • a648db354820ea4d02940cb1702b35974513b7aae83f6dffaacaac4ba31f9295
  • a75eab31d7ff06b6864960ad7e633be3f9730ff3d3873e4539c8f425fc632dad
  • de82998ad5fcd63deae030803388e0fb4290d6223fda82368fd25b99b823f0d2
  • e0a6a71c605d9a4076147e9537f82f79f1e1eccadc874595160aa4637ff4088c

Комментарии: 0