Grupo ligado à China passou a mirar organizações no Reino Unido, Alemanha, Itália e África do Sul com iscas corporativas, desvio para canais externos e entrega de malware por DLL side-loading.
| Componente | Campanhas de phishing atribuídas ao TA4922, com uso de ValleyRAT, Atlas RAT, RomulusLoader, SilentRunLoader, AnyDesk e SyncFuture. |
| Vetor | Iscas de recursos humanos, negócios, faturas, benefícios, conformidade, impostos e comunicações corporativas, com tentativa de migrar conversas para LINE, WhatsApp e Microsoft Teams e entrega de malware por DLL side-loading. |
| Impacto | Roubo de credenciais, fraude, obtenção de acesso remoto, possível revenda de acesso, persistência e, em uma campanha, exfiltração de dados do Chrome. |
| Prioridade | Revisar fluxos de e-mail que migram para canais externos, investigar execução por DLL side-loading e caçar artefatos associados a Atlas RAT, RomulusLoader, SilentRunLoader, AnyDesk e SyncFuture. |
| Alvos | Organizações no Japão, Sudeste Asiático, Reino Unido, Alemanha, Itália e África do Sul aparecem no escopo recente da atividade. |
| Linha temporal | Campanhas observadas entre 6 de março e meados de abril de 2026 mostram variação rápida de temas, regiões e famílias de malware. |
O TA4922, grupo cibercriminoso ligado à China e descrito como operador de língua chinesa, ampliou sua área de interesse para organizações na Europa e na África do Sul. O conjunto recente de campanhas inclui alvos no Reino Unido, Alemanha, Itália e África do Sul, além de atividade continuada contra Japão e Sudeste Asiático. A mudança mais relevante não é apenas geográfica: o operador alterna temas de phishing, famílias de malware e canais de interação em um ritmo operacional elevado, o que aumenta a dificuldade de correlação quando a defesa depende apenas de assunto de e-mail, remetente ou anexo isolado.
A atividade usa iscas de recursos humanos, negócios, faturas, benefícios, conformidade, impostos e comunicações corporativas. O objetivo técnico observado envolve phishing de credenciais, fraude e entrega de malware para acesso remoto. O arsenal citado inclui famílias conhecidas, como ValleyRAT, também associado ao nome Winos 4.0, e Atlas RAT, também chamado AtlasCross RAT, além de ferramentas previamente não documentadas no material analisado: RomulusLoader e SilentRunLoader. A cadeia também inclui implantação de AnyDesk e SyncFuture em uma campanha de meados de abril, com execução por DLL side-loading.
A motivação é avaliada como financeira, com foco em obter acesso remoto a ambientes de vítimas para roubo de dados, fraude, revenda de acesso ou manutenção de acesso persistente. Embora essa avaliação aponte para crime financeiro, as capacidades dos malwares usados também podem sustentar vigilância, o que torna a distinção entre monetização direta e uso secundário do acesso um ponto importante para threat intelligence. Para a defesa, isso significa tratar a campanha como risco de intrusão com potencial de persistência, e não apenas como phishing de baixo impacto.
O fluxo inicial depende de engenharia social por e-mail, com temas que imitam processos corporativos comuns. Em 6 de março de 2026, o operador usou iscas relacionadas a recursos humanos contra organizações japonesas para entregar Atlas RAT por DLL side-loading. Em 23 de março, adotou temas corporativos e de recursos humanos contra alvos no Japão para entregar RomulusLoader, um loader em C, também por DLL side-loading. Em 2 de abril, a mesma lógica de comunicação de recursos humanos apareceu em ataques contra organizações no Reino Unido e na Alemanha, novamente com entrega de Atlas RAT por DLL side-loading.
A técnica de DLL side-loading é central porque desloca a atenção defensiva de um executável explicitamente malicioso para combinações de binário legítimo, biblioteca manipulada e diretório de execução. No contexto dessas campanhas, o dado confirmado é o uso da técnica para entregar Atlas RAT, RomulusLoader e SilentRunLoader, além da implantação de AnyDesk e SyncFuture em uma cadeia posterior. O efeito prático para detecção é que a presença de software legítimo ou reconhecível não deve encerrar a análise se houver carregamento de biblioteca fora do caminho esperado, execução recém-criada a partir de diretórios de usuário ou associação temporal com mensagens de phishing.
Outra alteração operacional é a tentativa de transferir a conversa de e-mail para canais fora do controle tradicional da organização, como LINE, WhatsApp e Microsoft Teams. Esse desvio pode reduzir a visibilidade de gateways de e-mail, controles de sandbox e regras de detecção aplicadas apenas à caixa corporativa. O risco aumenta quando o usuário passa a receber instruções, arquivos ou links em uma conversa que parece personalizada. O material analisado indica que esse deslocamento foi usado para contornar controles empresariais, roubar dados ou entregar malware, sem fornecer comandos, payloads ou infraestrutura que permitam reprodução da cadeia.
Em 10 de abril, campanhas com temas de benefícios e conformidade atingiram organizações no Sudeste Asiático e no Reino Unido com SilentRunLoader por DLL side-loading e exfiltração de dados do Chrome. Em meados de abril, temas de negócios e impostos foram usados contra organizações no Japão e na Alemanha para entregar RomulusLoader, que então foi usado para implantar AnyDesk e SyncFuture por DLL side-loading. Esses marcos mostram que o operador combina iscas plausíveis para áreas administrativas com ferramentas de acesso remoto e loaders, ajustando a cadeia conforme alvo, região e tema.
A superfície exposta combina usuários que recebem comunicações administrativas com estáções capazes de executar anexos, arquivos baixados ou artefatos entregues por canais externos. Recursos humanos, financeiro, fiscal, conformidade e áreas com contato frequente com terceiros são pontos naturais de atenção, porque os temas citados exploram exatamente solicitações que costumam exigir abertura de documentos, validação de benefícios, revisão de faturas ou resposta a demandas corporativas. A presença de Microsoft Teams no conjunto de canais externos também exige cuidado com conversas que parecem internas, mas nascem de um contato iniciado por phishing.
A expansão para Reino Unido, Alemanha, Itália e África do Sul não elimina a exposição de organizações em outras regiões. O próprio padrão descrito mostra que o TA4922 já mirava East Asia, Japão e Sudeste Asiático e depois ampliou o escopo. A leitura defensiva correta é que a seleção de alvos pode mudar rapidamente, principalmente quando os temas usados são genéricos o suficiente para funcionar em múltiplos setores. O contexto não fornece setores específicos, versões vulneráveis, domínios de comando e controle, hashes ou endereços IP, portanto esses elementos não devem ser presumidos em triagens ou relatórios internos.
Os componentes de maior interesse para inventário e detecção são Atlas RAT, ValleyRAT, RomulusLoader, SilentRunLoader, AnyDesk e SyncFuture. AnyDesk, por ser ferramenta legítima de acesso remoto, exige correlação com origem da instalação, usuário, horário, linha de execução e vínculo com eventos de e-mail ou chat. O mesmo cuidado vale para SyncFuture, citado como parte da implantação em uma campanha. A presença isolada de ferramenta remota não confirma compromisso, mas a combinação com phishing recente, DLL side-loading e execução fora do padrão operacional deve elevar a prioridade de investigação.
- Usuários expostos a mensagens de recursos humanos, negócios, faturas, benefícios, conformidade e impostos.
- Ambientes em que anexos ou artefatos recebidos por chat podem executar binários e carregar DLLs de diretórios controlados pelo usuário.
- Organizações no Japão, Sudeste Asiático, Reino Unido, Alemanha, Itália e África do Sul, conforme os alvos citados no contexto.
- Estáções com uso novo, incomum ou não aprovado de AnyDesk ou SyncFuture após interação por e-mail ou canal externo.
A caça deve começar pela correlação entre mensagens recebidas e execução no endpoint. Procure e-mails com temas de contratação, recursos humanos, faturas, impostos, benefícios ou conformidade que tenham sido seguidos por criação de processo, extração de arquivos, carregamento de DLL e tentativa de comunicação externa. Como a campanha tenta mover vítimas para LINE, WhatsApp e Microsoft Teams, a telemetria de colaboração também é relevante: convites externos, conversas iniciadas logo após e-mails suspeitos, compartilhamento de arquivos por chats e mensagens que pedem continuidade fora do fluxo corporativo precisam ser analisados em conjunto.
No endpoint, o foco deve recair sobre sinais de DLL side-loading. Eventos úteis incluem binário legítimo carregando DLL com nome esperado a partir de caminho inesperado, execução a partir de diretórios temporários ou de perfil de usuário, arquivos recém-criados próximos ao horário de abertura de anexo e cadeias em que um loader antecede instalação ou execução de ferramenta remota. Para Atlas RAT, RomulusLoader e SilentRunLoader, o contexto confirma entrega por DLL side-loading, mas não traz nomes de arquivos, hashes ou infraestrutura. A defesa deve usar essa lacuna como limite analítico: buscar comportamento e encadeamento, sem inventar indicadores fixos.
A campanha de 10 de abril acrescenta um ponto específico: exfiltração de dados do Chrome. Portanto, eventos de acesso incomum a armazenamento de perfil do navegador, cópias de arquivos de dados do Chrome, processos não usuais lendo artefatos do navegador e tráfego de saída após execução suspeita merecem prioridade. Esse hunting deve ser feito com cautela para diferenciar backup, sincronização corporativa e ferramentas legítimas de suporte de atividade iniciada por phishing. O valor está na sequência: isca recebida, migração de conversa, artefato executado, DLL carregada, leitura de dados do navegador e conexão externa.
- E-mails com temas de recursos humanos, faturas, benefícios, conformidade, impostos ou negócios seguidos por execução de arquivos no endpoint.
- Conversas migradas para LINE, WhatsApp ou Microsoft Teams após contato inicial por e-mail suspeito.
- Carregamento de DLL a partir de diretórios incomuns por binários que normalmente não executam nesses caminhos.
- Instalação ou execução nova de AnyDesk ou SyncFuture sem solicitação operacional documentada.
- Acesso anômalo a dados de perfil do Chrome após execução de loader ou RAT.
- Correlação temporal entre Atlas RAT, RomulusLoader, SilentRunLoader e eventos de DLL side-loading, quando houver detecção nominal disponível.
A mitigação deve combinar controle de canal, resposta em endpoint e revisão de identidade. No e-mail, ajuste regras para identificar temas corporativos recorrentes usados em phishing, mas sem depender apenas de palavras-chave. O ponto operacional mais forte é bloquear ou sinalizar fluxos em que uma mensagem externa tenta deslocar o usuário para LINE, WhatsApp ou Microsoft Teams para continuar tratativas de recursos humanos, faturamento, impostos, benefícios ou conformidade. Para Microsoft Teams, revise políticas de acesso externo, federação, compartilhamento de arquivos e retenção de logs, de forma que conversas suspeitas permaneçam investigáveis.
No endpoint, endureça a detecção de DLL side-loading com base em caminho, assinatura, ancestralidade de processo e criação recente de arquivos. Ferramentas de EDR devem alertar quando binários legítimos carregam bibliotecas de locais graváveis pelo usuário, quando um loader antecede instalação de software remoto ou quando há acesso incomum a dados do Chrome. Como o contexto não fornece IoCs estáveis, a prioridade deve ser comportamento, não bloqueio por hash. Onde AnyDesk for permitido, crie política explícita de autorização, inventário e alerta para primeira execução, execução fora de janela de suporte ou uso por usuário sem função administrativa.
A resposta a um alerta compatível com essa atividade deve preservar evidências de e-mail, chat, artefatos baixados, árvore de processos, DLLs carregadas, conexões de rede, histórico de instalação de ferramentas remotas e acesso a dados de navegador. Se houver indício de phishing de credenciais, redefina senhas de contas afetadas, invalide sessões, revise autenticação multifator e procure uso anômalo da identidade. Se houver indício de exfiltração de dados do Chrome, trate a máquina como comprometida até concluir a análise, porque credenciais, cookies ou outros artefatos de navegador podem ter sido acessados, mesmo que o contexto não detalhe quais dados foram removidos.
- Restringir ou monitorar conversas externas em LINE, WhatsApp e Microsoft Teams iniciadas a partir de e-mails corporativos suspeitos.
- Criar alertas para DLL side-loading por binários executados de diretórios temporários, perfis de usuário ou caminhos recém-criados.
- Inventariar e controlar AnyDesk e SyncFuture, com alerta para primeira execução ou uso sem justificativa operacional.
- Correlacionar mensagens de phishing com criação de processo, carregamento de DLL, acesso a dados do Chrome e tráfego de saída.
- Invalidar sessões e revisar autenticação quando houver evidência de phishing de credenciais.
- Preservar artefatos de endpoint e colaboração para análise de escopo, sem depender de hashes ou domínios não fornecidos no contexto.
0 Comentários