Auf den Punkt: TA4922 expandiert vom Fokus auf Ostasien nach Europa und setzt KI-gestützte Schadsoftware sowie Social Engineering auf Messenger-Plattformen ein, um finanziellen Gewinn zu erzielen.
Die chinesischsprachige Cyberkriminalitätsgruppe TA4922 hat ihre Angriffe massiv auf Europa ausgeweitet und nutzt dabei KI-generierte Phishing-Kampagnen. Proofpoint dokumentiert erstmals gezielte Operationen gegen Organisationen in Deutschland, Großbritannien und Italien.
Die Cyberkriminalitätsgruppe TA4922 wurde bislang primär für Angriffe auf Ziele in Japan, Taiwan, Südkorea, Singapur und Indien bekannt. Das IT-Sicherheitsunternehmen Proofpoint berichtet nun von signifikanter geografischer Ausweitung: Organisationen in Großbritannien, Italien, Deutschland und Südafrika wurden in den letzten Monaten systematisch ins Visier genommen. Anders als andere chinesische Akteure wie Silver Fox oder Void Arachne, mit denen TA4922 Infrastruktur und Werkzeuge teilt, liegt der Schwerpunkt nicht auf staatlicher Spionage, sondern auf finanzieller Bereicherung: Dauerhafter Fernzugriff auf Netzwerke, Datendiebstahl, Verkauf von Zugängen und Kreditkartenbetrug.
Die Angriffsmethoden basieren auf ausgefeiltem Social Engineering: TA4922 versendet hochpersonalisierte E-Mails mit Inhalten zu Personalabteilung, Steuerprüfungen, Gehaltsabrechnungen oder gefälschten Rechnungen. Opfer werden zum Klick auf schädliche Links oder Download infizierter Dateien verleitet oder geben Anmeldedaten auf Phishing-Seiten ein. Ein Differenzierungsmerkmal der Gruppe ist die bewusste Eskalation: Nach erfolgreicher initaler Kompromittierung fordern die Angreifer Mobiltelefonnummern an oder initiieren Wechsel der Kommunikation auf Messaging-Plattformen wie LINE, WhatsApp oder Microsoft Teams. Dies verschleiert die Aktivitäten vor E-Mail-gestützter Sicherheitsüberwachung und bietet Raum für erweitertes Social Engineering und Schadsoftware-Verteilung.
TA4922 wird derzeit als aktivster Akteur in diesem kriminellen Segment beobachtet. Sicherheitsanalysten gehen mit hoher Wahrscheinlichkeit davon aus, dass die Gruppe Large Language Models (LLMs) nutzt, um Python-basierte Schadsoftware in extrem kurzer Zeit zu generieren—Indizien sind Platzhalter-Schlüssel in analysiertem Code. Das Arsenal umfasst RomulusLoader und Atlas RAT, eine vollwertige Backdoor mit Plugin-Funktionen für Audio- und Videoaufzeichnung, Keylogging und Screenshot-Erstellung. Im März 2026 wurden Systeme in Japan damit kompromittiert; ähnliche Kampagnen folgten im April.
Quelle: www.it-daily.net · Erschienen 6. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.6.5.