Yeni bir Çinli konuşan siber suç grubu, operasyonlarını Doğu Asya'dan Avrupa ve Afrika'ya genişletirken kullandığı kötü amaçlı yazılımları hızla yeniliyor. Proofpoint tarafından TA4922 olarak izlenen grup, finansal motivasyonlu ve mağdurların sistemlerine uzaktan erişim sağlayarak veri hırsızlığı, dolandırıcılık ve erişim satışı yapıyor. Grup, şu anda Proofpoint'in takip ettiği diğer tüm siber suç aktörlerinden daha fazla farklı kampanya yürütüyor.
Geçmişte ağırlıklı olarak Japonya'ya odaklanan grup, Tayvan, Kore, Singapur ve Hindistan'daki kuruluşları da hedef alıyor. Son aylarda kampanyaları Birleşik Krallık, Almanya, İtalya ve Güney Afrika'ya kadar ulaştı. Tuzaklar dikkatlice yerelleştirilmiş; hedefin kendi dilinde vergi daireleri, finans departmanları ve insan kaynakları ekiplerini taklit ederek maaş bordrosu, fatura ve İK bildirimleri temalı mesajlar gönderiyor. Ayrıca TA4922, mağdurları e-postadan LINE, WhatsApp ve Microsoft Teams gibi mesajlaşma uygulamalarına taşımaya çalışıyor; böylece sosyal mühendisliği e-posta güvenliğinin gözü dışında sürdürebiliyor.
Grup, araç setini hızla değiştiriyor. Son kampanyalarda yeni tespit edilen bir arka kapı olan Atlas RAT ve Proofpoint'in RomulusLoader ve SilentRunLoader adını verdiği iki yeni yükleyici ailesi kullanıldı. Ayrıca ValleyRAT (Winos 4.0) gibi uzun süredir kullanılan kötü amaçlı yazılımlar da devrede. Yükler genellikle DLL sideloading yoluyla ve tüketici dosya paylaşım hizmetlerinden aşamalı olarak yükleniyor. TA4922, RomulusLoader kullanarak AnyDesk gibi uzaktan yönetim araçlarını da bırakıyor. Proofpoint, grubun Python kötü amaçlı yazılımını hızlıca oluşturmak için büyük dil modelleri (LLM) kullandığını yüksek güvenle değerlendiriyor; buna kodda değiştirilmemiş bir yer tutucu anahtar kalması gibi işaretler dayanak gösteriliyor.
Proofpoint, TA4922'yi Silver Fox ve Void Arachne kümeleriyle aynı geniş ekosisteme bağlıyor ancak onu ayrı, suç odaklı bir grup olarak değerlendiriyor. Yine de kötü amaçlı yazılımındaki ses, web kamerası ve tuş kaydı gibi gözetim özellikleri, casusluk aktörlerine satılabilir veya onlar tarafından kullanılabilir. Proofpoint, 'Bu aktörün küresel doğası, kuruluşların coğrafi hedeflemeden bağımsız olarak ortaya çıkan karmaşık tehditlerin farkında olması gerektiğini gösteriyor.' uyarısında bulundu. Maruziyeti azaltmak için uygulama beyaz listeleme, geçici kullanıcı dizinlerinden çalışan programların izlenmesi ve yerel yönetici haklarının sınırlandırılması öneriliyor.