L’espansione geografica del cybercrime cinese sta assumendo una nuova dimensione con la crescita di TA4922, un gruppo monitorato da Proofpoint che negli ultimi mesi ha aumentato drasticamente il proprio raggio d’azione. Nato come attore prevalentemente concentrato sull’Asia orientale, il cluster ha esteso le operazioni verso Europa, Africa e Sud-est asiatico, colpendo organizzazioni in Regno Unito, Germania, Italia, Sud Africa e numerosi altri Paesi. A differenza di molte campagne attribuite a gruppi sponsorizzati da governi, TA4922 opera con finalità chiaramente finanziarie e utilizza una combinazione di phishing localizzato, social engineering, loader personalizzati, RAT avanzati e strumenti legittimi per ottenere accesso remoto agli ambienti aziendali. L’obiettivo non è la raccolta di intelligence geopolitica, ma il profitto immediato attraverso furto di dati, frodi, rivendita di accessi e mantenimento della persistenza all’interno delle reti compromesse. L’aumento osservato tra marzo e aprile 2026 indica una maturazione operativa significativa che trasforma TA4922 in una delle minacce emergenti più interessanti dell’attuale panorama cybercriminale.
Cosa leggere
Proofpoint osserva una crescita esplosiva dell’attività TA4922
Secondo i ricercatori di Proofpoint, il gruppo è stato monitorato a partire dalla primavera del 2025, ma è nel 2026 che l’attività ha registrato un’accelerazione particolarmente evidente. Le campagne sono diventate più frequenti, più geograficamente distribuite e soprattutto più adattabili ai contesti locali. A differenza delle tradizionali operazioni di spam di massa, TA4922 preferisce campagne relativamente contenute, composte da alcune centinaia o migliaia di messaggi accuratamente personalizzati.
Questa strategia aumenta il tasso di apertura e riduce la probabilità che i sistemi automatici di difesa identifichino immediatamente la minaccia. Il gruppo modifica costantemente le esche utilizzate, adattandole alla lingua, alle abitudini lavorative e alle procedure amministrative dei Paesi bersaglio. L’efficacia di questo approccio consente di ottenere rapidamente credenziali, installare malware e avviare ulteriori fasi di compromissione. Proofpoint evidenzia come il ritmo operativo di TA4922 sia ormai paragonabile a quello di attori cybercriminali molto più consolidati.
Le campagne phishing sfruttano risorse umane, stipendi e tasse
Uno degli elementi distintivi di TA4922 è la capacità di costruire campagne di phishing altamente contestualizzate. I messaggi simulano comunicazioni provenienti da uffici risorse umane, reparti payroll, amministrazioni fiscali o fornitori commerciali. In Giappone vengono utilizzate notifiche relative a modifiche salariali, mentre nei Paesi europei e africani prevalgono temi legati a imposte, fatture, benefit aziendali o aggiornamenti contrattuali.
Questa personalizzazione aumenta il senso di urgenza e rende le comunicazioni credibili agli occhi delle vittime. Il gruppo utilizza la lingua locale e adatta il contenuto ai riferimenti culturali del destinatario. Una caratteristica particolarmente interessante riguarda il passaggio rapido da email a piattaforme di messaggistica come WhatsApp, LINE o Microsoft Teams. Spostando la conversazione su canali percepiti come più informali e affidabili, gli attaccanti riescono a prolungare l’interazione con la vittima e a raccogliere ulteriori informazioni utili per la compromissione.
Atlas RAT diventa il principale strumento di compromissione
Tra le armi più utilizzate da TA4922 emerge Atlas RAT, un malware progettato per garantire controllo remoto persistente sulle macchine compromesse. Il gruppo distribuisce il RAT attraverso tecniche di DLL sideloading, sfruttando applicazioni legittime per caricare librerie malevole e aggirare molte difese tradizionali. Una volta eseguito, Atlas RAT raccoglie informazioni sul sistema, esegue attività di sorveglianza e permette agli operatori di installare moduli aggiuntivi.
Le capacità includono keylogging, acquisizione di screenshot, monitoraggio della clipboard, registrazione audio-video e caricamento di file verso l’infrastruttura di comando e controllo. Il malware integra meccanismi anti-sandbox e controlli ambientali che rilevano macchine virtuali o ambienti di analisi. Le comunicazioni verso il server C2 utilizzano configurazioni cifrate e tecniche che rendono più difficile l’identificazione del traffico malevolo. Per TA4922, Atlas RAT rappresenta il punto di ingresso ideale per attività successive di furto dati o monetizzazione dell’accesso.
RomulusLoader amplia la capacità offensiva del gruppo
A partire dal marzo 2026, Proofpoint ha osservato l’impiego crescente di RomulusLoader, un loader progettato per scaricare ed eseguire payload aggiuntivi. Scritto in linguaggio C, il malware utilizza un caricatore PE personalizzato, crittografia RC4 e tecniche avanzate di risoluzione dinamica delle API. La distribuzione avviene spesso attraverso archivi compressi che contengono componenti legittimi di Vulkan utilizzati per eseguire operazioni di sideloading.
Una volta attivo, RomulusLoader inietta codice in processi come svchost.exe, stabilisce persistenza e prepara il terreno per ulteriori malware. L’approccio modulare permette a TA4922 di adattare rapidamente il payload finale agli obiettivi della campagna. Questo rende il loader particolarmente pericoloso perché può fungere da ponte verso numerose altre minacce senza richiedere modifiche sostanziali all’infrastruttura esistente.
SilentRunLoader suggerisce l’uso di strumenti basati su LLM
Un altro componente osservato nelle campagne recenti è SilentRunLoader, un loader sviluppato in Python che punta principalmente al furto di informazioni. Il malware estrae dati da browser come Google Chrome, raccoglie cookie, credenziali e altre informazioni sensibili prima di scaricare ulteriori componenti malevoli. I ricercatori hanno individuato all’interno del codice alcuni indicatori che suggeriscono l’utilizzo di strumenti assistiti da LLM durante lo sviluppo.
La presenza di placeholder e strutture tipiche della generazione automatica di codice rappresenta un segnale interessante dell’evoluzione del cybercrime moderno. Sebbene non vi siano prove definitive di un utilizzo sistematico dell’intelligenza artificiale nello sviluppo dell’arsenale del gruppo, l’ipotesi evidenzia una tendenza crescente nel panorama delle minacce. Anche in questo caso il loader supporta tecniche come process hollowing, iniezione di shellcode e download dinamico di componenti aggiuntivi.
ValleyRAT offre sorveglianza avanzata e monetizzazione
Il toolkit di TA4922 viene completato da ValleyRAT, noto anche come Winos 4.0, una piattaforma di accesso remoto che combina funzionalità di controllo, sorveglianza e monetizzazione. Il malware include moduli dedicati alla gestione dei file, all’accesso remoto, alla registrazione da webcam e microfono, al keylogging e persino a operazioni di DDoS. Il gruppo modifica frequentemente il codice derivato da progetti open source per aggirare le firme di rilevamento e utilizza configurazioni cifrate con RC4. Le capacità di ValleyRAT rendono possibile non soltanto il furto di informazioni, ma anche la raccolta di materiale utile per estorsioni, frodi finanziarie o rivendita di accessi sul mercato nero. Sebbene alcune funzionalità ricordino strumenti utilizzati in campagne di spionaggio, Proofpoint sottolinea come l’obiettivo principale di TA4922 resti il profitto economico.
Cloud pubblici e servizi legittimi nascondono il malware
Uno degli aspetti più sofisticati dell’infrastruttura di TA4922 riguarda l’utilizzo di servizi perfettamente legittimi per distribuire payload e nascondere le comunicazioni. I malware vengono ospitati su piattaforme come GoFile, MediaFire e LimeWire, mentre i link vengono mascherati attraverso servizi di URL shortening. Questa scelta rende difficile bloccare le operazioni senza compromettere servizi utilizzati quotidianamente da utenti e aziende. Anche i server di comando e controllo risultano distribuiti tra diversi provider cloud e hosting internazionali, riducendo le possibilità di attribuzione immediata. L’utilizzo di infrastrutture legittime rappresenta ormai una caratteristica ricorrente del cybercrime moderno, ma TA4922 dimostra una particolare efficacia nell’integrare questi servizi all’interno della propria catena operativa.
Dall’Asia all’Europa, la strategia di espansione continua
Le campagne più recenti mostrano chiaramente il cambio di scala del gruppo. Se in passato il focus principale era rappresentato da Giappone e Sud-est asiatico, oggi gli obiettivi includono stabilmente Regno Unito, Germania, Italia e Sud Africa. Questa espansione geografica non appare casuale. TA4922 adatta rapidamente le proprie esche alle caratteristiche dei mercati locali e sfrutta tematiche amministrative universali come tasse, stipendi e fatture. La capacità di operare in più lingue e di utilizzare infrastrutture distribuite consente al gruppo di lanciare campagne simultanee contro organizzazioni molto diverse tra loro. Proofpoint osserva che la frequenza delle operazioni è ormai superiore a quella di molti altri attori cybercriminali monitorati, segnale di una struttura organizzativa particolarmente efficiente.
TA4922 emerge come cluster autonomo del cybercrime cinese
Sebbene esistano sovrapposizioni tecniche con cluster noti come Silver Fox o Void Arachne, Proofpoint considera TA4922 un’entità distinta. Le tecniche utilizzate, la selezione dei bersagli e soprattutto la motivazione finanziaria differenziano il gruppo da molte operazioni attribuite ad attori sponsorizzati da governi. L’obiettivo resta l’ottenimento di profitti attraverso furto di dati, frodi, rivendita di accessi e mantenimento della persistenza negli ambienti compromessi. Questa combinazione di sofisticazione tecnica e pragmatismo economico rende TA4922 particolarmente pericoloso per aziende di ogni dimensione. Il gruppo dimostra infatti che il cybercrime moderno non necessita di obiettivi geopolitici per sviluppare strumenti avanzati e operare su scala globale. La crescita osservata nel 2026 suggerisce che TA4922 continuerà a espandere le proprie attività e a rappresentare una minaccia crescente per organizzazioni in Europa, Africa e Asia.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
