Un gruppo cybercriminale di lingua cinese che fa uso di malware in costante aggiornamento, ha esteso le proprie campagne all'Europa. Ricercatori di Proofpoint lo tracciano con la sigla TA4922 e segnalano che a marzo e aprile 2026 ha condotto più campagne uniche di qualsiasi altro threat actor monitorato dall'azienda.

La novità più rilevante è l'espansione geografica: inizialmente il gruppo attaccava per lo più organizzazioni dell'Asia orientale, ma di recente ha avviato attività in Regno Unito, Germania, Italia e Sudafrica. Gli attaccanti usano esche localizzate che rispecchiano lingua e prassi aziendali della regione target, con messaggi che impersonano risorse umane, team finanziari, autorità fiscali o servizi di fatturazione.  

Partecipa agli ItalianSecurityAwards 2026 ed esprimi il tuo voto premiando le soluzioni di cybersecurity che reputi più innovative

Sul fronte delle armi cyber, fino alla primavera del 2025 TA4922 operava principalmente con ValleyRAT, un trojan ad accesso remoto modulare già documentato in altri contesti. Il framework è in parte open source e disponibile su GitHub, così da favorire la compilazione di varianti e configurazioni diverse, diverse rilevate da Proofpoint. Nel corso del 2026 il toolkit si è ampliato in modo significativo e fra gli altri hanno esordito Atlas RAT, due nuove famiglie di loader che Proofpoint ha denominato RomulusLoader e SilentRunLoader. Ciascuno di questi strumenti svolge un ruolo specifico nella catena di attacco.

La catena di attacco

Per quanto concerne l’Europa, la novità più rilevante è Atlas RAT, una backdoor completa con funzionalità di keylogging, acquisizione dello schermo, registrazione via webcam, gestione dei file ed esecuzione remota di comandi. Comunica con il proprio server di comando e controllo tramite cifratura ChaCha ed esegue molteplici verifiche anti-sandbox per ostacolare l'analisi. Una prima campagna con Atlas RAT, a inizio marzo 2026, ha preso di mira organizzazioni giapponesi con false notifiche di rettifica salariale, ma un secondo ciclo, in aprile, ha colpito organizzazioni in Regno Unito e Germania con esche HR.

RomulusLoader è comparso per la prima volta a fine marzo e potrebbe essere definito l’addetto allo staging, dato che è usato per installare strumenti aggiuntivi, inclusi software di monitoraggio e gestione remota legittimi come AnyDesk e SyncFuture. Ricordiamo che è ormai frequente l’introduzione di tool legittimi nel flusso di attacco per confondere le soluzioni di difesa e complicare la rilevazione.  SilentRunLoader è invece incaricato dell'esfiltrazione. È un loader e stealer che prende di mira i dati archiviati in Google Chrome, credenziali incluse ed è stato usato contro organizzazioni nel Regno Unito.

Proofpoint reputa molto probabile che il gruppo stia utilizzando LLM per costruire rapidamente il proprio malware, come rivela una chiave segnaposto rimasta invariata nel codice di SilentRunLoader. Il dettaglio suggerisce che il codice sia stato generato con una revisione minima, il che rende il ciclo di sviluppo estremamente rapido e pone i difensori in una posizione di rincorsa costante di fronte a nuove varianti.

Come difendersi

Il caso TA4922 è un chiaro esempio del fatto che i gruppi criminali inizialmente focalizzati su aree geografiche circoscritte stanno acquisendo, anche grazie all’AI, le competenze di ingegneria sociale multilingue necessarie e di gestione di infrastrutture globali, che consentono loro di espandersi in nuovi mercati con tattiche già rodate. Significa che per loro l'Europa non è più un obiettivo secondario.

Per difendersi al meglio, Proofpoint consiglia di bloccare l'esecuzione di applicativi non autorizzati per impedire a malware come Atlas RAT di installarsi. Monitorare le cartelle temporanee %TEMP% e %APPDATA%, che sono punti di riferimento per RomulusLoader, e verificare la presenza di eseguibili scritti nelle directory root. Lato rete, è caldeggiato il monitoraggio del traffico verso porte non standard, in particolare la porta 1234 usata dall'infrastruttura C2 di RomulusLoader. Centrale è inoltre il nodo della formazione del personale, per consentirgli di riconoscere le tattiche di attacco.