Grupo chinês TA4922 expande ataques
Um grupo de cibercrime de língua chinesa, identificado como TA4922 pela Proofpoint, está conduzindo mais campanhas com malware únicas do que qualquer outro ator de ameaças rastreado atualmente. Originalmente focado no Leste Asiático, o grupo expandiu suas operações para a Europa — incluindo Alemanha, Itália e Reino Unido — e para a África do Sul. A Proofpoint avalia com alta confiança que o grupo utiliza modelos de linguagem para acelerar o desenvolvimento de malware em Python, um método que os pesquisadores descreveram como “vibe-coded”.
Atlas RAT: trojan com acesso total
O Atlas RAT é o novo cavalo de Troia de acesso remoto implantado pelo grupo. Ele chega por e-mails de phishing com iscas localizadas — avisos de folha de pagamento, auditorias fiscais, faturas e comunicações de recursos humanos. Ao ser executado, o malware realiza reconhecimento completo do sistema, rouba arquivos, captura teclas digitadas, tira screenshots e pode ativar microfone e webcam. O trojan também aceita comandos de desligamento e reinicialização remota.
Entre as funções anti-análise, o Atlas RAT verifica nomes de usuário associados ao Microsoft Defender Application Guard, chaves de registro específicas e identificadores do sistema operacional para evitar execução em ambientes de pesquisa. A comunicação com o servidor de comando e controle acontece via TCP na porta 886.
Em campanhas contra o Reino Unido e a Alemanha detectadas em abril de 2026, as iscas simulavam revisão de documentos de recursos humanos, com arquivos ZIP hospedados no GoFile contendo executáveis acompanhados de uma DLL maliciosa (libcef.dll) carregada via DLL sideloading.
Três malwares inéditos em operação
Além do Atlas RAT, o TA4922 implantou dois novos malwares nunca documentados. O RomulusLoader, escrito em C, funciona como loader que faz download e executa cargas adicionais usando process hollowing e injeção de shellcode. Em campanhas na Alemanha, ele foi usado para instalar o AnyDesk e o SyncFuture — uma ferramenta chinesa de monitoramento remoto — em vítimas que receberam e-mails que se passavam pelo escritório fiscal de Munique.
O SilentRunLoader, baseado em Python, tem como alvo principal o Google Chrome: rouba credenciais salvas, cookies e dados de navegação. Foi usado contra organizações no Reino Unido com iscas que se passavam pela autoridade fiscal britânica (HMRC), usando URLs encurtadas no serviço srt.tw e hospedagem no MediaFire.
| Malware | Linguagem | Função principal | Alvo geográfico |
|---|---|---|---|
| Atlas RAT | C/C++ | Acesso remoto completo, keylogging, webcam | Japão, Reino Unido, Alemanha |
| RomulusLoader | C | Loader com process hollowing e shellcode | Japão, Alemanha |
| SilentRunLoader | Python | Roubo de credenciais do Chrome | Reino Unido, Sudeste Asiático |
Como se proteger destes ataques
Como o grupo migra a comunicação para WhatsApp, LINE e Microsoft Teams após o contato inicial por e-mail, é fundamental treinar equipes para não migrarem canais de comunicação com remetentes não verificados. O uso de plataformas de compartilhamento de arquivos como GoFile, MediaFire e LimeWire como vetor de entrega reforça a necessidade de bloquear downloads a partir desses serviços em ambientes corporativos. A detecção de DLL sideloading — técnica usada pelo Atlas RAT — pode ser feita monitorando carregamentos de DLL não assinadas por processos legítimos. Já o SilentRunLoader em Python requer atenção a processos Python inexplicáveis em estações de trabalho e monitoramento de tráfego HTTP POST para domínios desconhecidos.
Fontes e referências
Este relatório foi elaborado com base em informações publicadas pela Proofpoint e pelo BleepingComputer sobre as campanhas do TA4922 registradas entre março e abril de 2026. Para detalhes técnicos adicionais, incluindo indicadores de comprometimento, consulte as fontes originais abaixo.