L’ecosistema dei cybercriminali di lingua cinese è cresciuto notevolmente negli ultimi anni. Molte delle minacce osservate in questo panorama derivano da malware utilizzati in origine da attori di spionaggio cinesi – nello specifico Gh0stRAT e payload correlati – e in passato prendevano spesso di mira utenti di lingua cinese. Tuttavia, di pari passo con lo sviluppo di migliori competenze nel malware, ingegneria sociale e targeting globale da parte dei cybercriminali di lingua cinese, il loro footprint si sta ampliando, con l’emergere di nuovi gruppi. TA4922 è un attore unico nel suo genere a causa dell’ampia varietà di esche utilizzate, dei soggetti colpiti e degli obiettivi perseguiti. Distribuisce malware, effettua phishing di credenziali e tenta truffe come il furto di carte di credito. Sebbene i cybercriminali mostrino talvolta obiettivi molteplici (ad esempio, usando il phishing di credenziali per facilitare una frode), la costanza con cui TA4922 gestisce campagne, payload e scopi così diversi tra loro lo rende uno degli attori più singolari tra quelli monitorati da Proofpoint.
L’attività di TA4922 presenta sovrapposizioni a livello di strumenti, infrastrutture e temi di ingegneria sociale con le attività segnalate da altri ricercatori sotto il nome di Silver Fox o Void Arachne. Sebbene questi gruppi vengano talvolta descritti come orientati allo spionaggio, Proofpoint ritiene che le campagne attribuite a TA4922 si allineino maggiormente con gli obiettivi tipici del cybercrimine, nonostante le tecniche avanzate utilizzate dall’attore. Le attività descritte in questo report non coincidono perfettamente con quelle di Silver Fox/Void Arachne, e Proofpoint monitora questo attore come un gruppo di minaccia distinto.
A partire dalla primavera del 2025, Proofpoint ha tracciato campagne email malevole associate a TA4922. In base all’analisi condotta da Proofpoint su email, target e payload, l’attore è probabilmente spinto da motivazioni economiche e punta a ottenere accesso remoto agli ambienti delle vittime per trarne un profitto finanziario, ad esempio tramite il furto di dati, frodi, rivendita degli accessi o mantenimento di un accesso persistente.
Nei mesi di marzo e aprile 2026, Proofpoint ha individuato una serie di campagne che dimostrano l’evoluzione negli strumenti malware a disposizione di TA4922, con il suo ritmo operativo aumentato drasticamente. In tutte le campagne osservate, l’attore si è affidato principalmente a esche a tema risorse umane e business, nel tentativo di distribuire phishing di credenziali, frodi e payload malware, tra cui il neonato Atlas RAT. Le campagne hanno sfruttato anche nuove famiglie di loader che Proofpoint ha denominato RomulusLoader e SilentRunLoader. RomulusLoader viene utilizzato per installare strumenti aggiuntivi, tra cui software di monitoraggio e gestione remota (RMM) legittimi, come AnyDesk e SyncFuture. La diversità dei payload osservati negli ultimi mesi rappresenta un cambiamento significativo nelle tattiche, tecniche e procedure (TTP) dell’attore.
Attualmente, nei dati sulle minacce di Proofpoint, TA4922 conduce un numero di campagne uniche superiore a qualsiasi altro cybercriminale monitorato, dimostrando un ritmo operativo serrato, una varietà di esche e molteplici obiettivi. Sebbene si ritenga che l’attore sia spinto da motivazioni economiche, le funzionalità del malware includono potenzialità di sorveglianza che potrebbero essere sfruttate da gruppi di spionaggio o vendute a essi.
Inizialmente, Proofpoint ha osservato che l’attore prendeva di mira organizzazioni nell’Asia orientale, ma da allora ha ampliato il proprio raggio d’azione includendo molti paesi europei, in particolare nel corso del 2026. Tra questi, sono stati riscontrate azioni dirette a Regno Unito, Germania e Italia.
L’attore appare ben organizzato, utilizza esche altamente mirate e raramente commette errori nella distribuzione delle campagne (ad esempio, non lo si vede utilizzare esche in lingua italiana per colpire utenti in Giappone).
Il suo approccio globale dimostra come le aziende debbano prestare attenzione alle minacce emergenti e complesse, indipendentemente dall’area geografica target. Attori di questa tipologia possono estendere e scalare rapidamente le proprie tattiche in ogni momento per includere nuovi bersagli.
