🔍 Contexte

Publié le 3 juin 2026 par l’équipe Proofpoint Threat Research, cet article présente une analyse détaillée de TA4922, un acteur cybercriminel sinophone nouvellement désigné, actif depuis le printemps 2025 et dont l’activité s’est fortement intensifiée entre mars et avril 2026.

🎭 Profil de l’acteur

TA4922 est évalué comme financièrement motivé, ciblant principalement les organisations en Asie de l’Est (Japon, Taïwan, Corée, Singapour, Inde, Malaisie, Indonésie) avec une expansion récente vers l’Europe (Royaume-Uni, Allemagne, Italie) et l’Afrique du Sud. L’acteur présente des chevauchements d’outillage et d’infrastructure avec les clusters Silver Fox et Void Arachne, mais Proofpoint le suit comme un cluster distinct à orientation cybercriminelle.

🛠️ Arsenal malware

TA4922 utilise une large variété de familles de malwares :

  • Atlas RAT : backdoor modulaire multi-étapes avec capacités de surveillance (webcam, keylogger, capture d’écran), partageant des similarités avec le framework Winos4.0. Utilise DLL sideloading, SysWhispers pour syscalls directs, chiffrement ChaCha pour les communications C2.
  • RomulusLoader : loader en C avec chargeur PE personnalisé, résolution dynamique d’API via PEB/TEB walking et hachage ROR13, chiffrement RC4, injection de processus (svchost.exe, dllhost.exe). Déployé via DLL sideloading en se faisant passer pour le Vulkan Graphics API.
  • SilentRunLoader : stealer/loader Python compilé (“vibe-coded”), exfiltre les données Chrome (credentials, cookies) via HTTP POST, télécharge des payloads supplémentaires. Contient une clé API placeholder non modifiée suggérant l’usage d’un LLM pour le développement.
  • ValleyRAT / Winos4.0 : RAT modulaire open source avec une variante personnalisée utilisant RC4 pour chiffrer entièrement la configuration.
  • HoldingHands : malware historiquement associé à TA4922.

📧 Techniques de campagne

Les campagnes utilisent des leurres localisés thématiques :

  • Ressources humaines et paie (ajustements salariaux, fiches de paie)
  • Autorités fiscales (impersonation du Finanzamt München, HMRC)
  • Facturation électronique
  • Avantages sociaux et conformité

Les fichiers malveillants sont hébergés sur des services légitimes : GoFile, LimeWire, MediaFire. Les URLs sont parfois raccourcies via srt.tw. L’acteur redirige également les victimes vers des applications de messagerie (LINE, WhatsApp, Microsoft Teams) pour échapper aux contrôles de sécurité email.

📊 Campagnes notables (mars-avril 2026)

  • 6 mars 2026 : Atlas RAT Campaign 1 – Japon, leurre RH, ZIP via GoFile, C2 206.238.115.58:886
  • 23 mars 2026 : RomulusLoader Campaign 1 – Japon, leurre corporate/RH, ZIP via LimeWire, C2 43.156.77.97:1234
  • 30 mars 2026 : SilentRunLoader Campaign 1 – Royaume-Uni, impersonation HMRC, payload via MediaFire
  • 2 avril 2026 : Atlas RAT Campaign 2 – Royaume-Uni et Allemagne, leurre RH, C2 154.211.86.110:886
  • 7 avril 2026 : Atlas RAT Campaign 3 – leurre facturation, même C2
  • 10 avril 2026 : SilentRunLoader Campaign 2 – Asie du Sud-Est et Royaume-Uni, leurre avantages sociaux
  • Mi-avril 2026 : RomulusLoader + AnyDesk/SyncFuture – Japon et Allemagne, impersonation Finanzamt München

📄 Type d’article

Il s’agit d’une publication de recherche et d’une analyse technique approfondie publiée par Proofpoint, visant à documenter un nouvel acteur de menace, ses TTPs, ses malwares et ses IOCs pour permettre la détection et la défense.

🧠 TTPs et IOCs détectés

Acteurs de menace

TTP

  • T1566.002 — Phishing: Spearphishing Link (Initial Access)
  • T1574.002 — Hijack Execution Flow: DLL Side-Loading (Defense Evasion)
  • T1055.012 — Process Injection: Process Hollowing (Defense Evasion)
  • T1055 — Process Injection (Defense Evasion)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1140 — Deobfuscate/Decode Files or Information (Defense Evasion)
  • T1082 — System Information Discovery (Discovery)
  • T1083 — File and Directory Discovery (Discovery)
  • T1057 — Process Discovery (Discovery)
  • T1497 — Virtualization/Sandbox Evasion (Defense Evasion)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1539 — Steal Web Session Cookie (Credential Access)
  • T1555.003 — Credentials from Password Stores: Credentials from Web Browsers (Credential Access)
  • T1105 — Ingress Tool Transfer (Command and Control)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1219 — Remote Access Software (Command and Control)
  • T1547 — Boot or Logon Autostart Execution (Persistence)
  • T1056.001 — Input Capture: Keylogging (Collection)
  • T1113 — Screen Capture (Collection)
  • T1123 — Audio Capture (Collection)
  • T1125 — Video Capture (Collection)
  • T1560 — Archive Collected Data (Collection)
  • T1608.001 — Stage Capabilities: Upload Malware (Resource Development)
  • T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
  • T1134 — Access Token Manipulation (Defense Evasion)
  • T1059 — Command and Scripting Interpreter (Execution)

IOC

  • IPv4 : 206.238.115.58AbuseIPDB · VT · ThreatFox
  • IPv4 : 154.211.86.110AbuseIPDB · VT · ThreatFox
  • IPv4 : 43.156.77.97AbuseIPDB · VT · ThreatFox
  • IPv4 : 103.214.172.33AbuseIPDB · VT · ThreatFox
  • IPv4 : 18.139.83.110AbuseIPDB · VT · ThreatFox
  • Domaines : ws.ztts88.cyouVT · URLhaus · ThreatFox
  • Domaines : aeya388.clubVT · URLhaus · ThreatFox
  • Domaines : nwphotoblog.comVT · URLhaus · ThreatFox
  • URLs : https://ws.ztts88.cyou/file/cg.exeURLhaus
  • URLs : https://ws.ztts88.cyou/upload.phpURLhaus
  • URLs : https://nwphotoblog.comURLhaus
  • SHA256 : a648db354820ea4d02940cb1702b35974513b7aae83f6dff9aacaac4ba31f9295VT · MalwareBazaar
  • SHA256 : 584a9448dda46bd590d7a2f86228100d2ae6e0d6d990c1a4459ed5ee28e07ae8VT · MalwareBazaar
  • SHA256 : 66a3836b9a17771bce2161f6b73cbc2494a91e49d6aa30d2d53711e8d10de60dVT · MalwareBazaar
  • SHA256 : 4fcfa88fffacbce30bbe2136753c9ab5a4c092940d2406fd9d44d5118e745b9dVT · MalwareBazaar
  • SHA256 : a75eab31d7ff06b6864960ad7e633be3f9730ff3d3873e4539c8f425fc632dadVT · MalwareBazaar
  • SHA256 : 40b41979b317406f8abc601677a3b93aaf6ef8ab8ac188b8f383735e388f13b5VT · MalwareBazaar
  • SHA256 : 8c9b6542f73c5c7fe455b52f5101314407da4f65ff48e7ebf6896605e607c8d0VT · MalwareBazaar
  • SHA256 : 3119cf37b8267db8a2dcd11d9a83d5237d7ef1e42388e7c9afa2831b91da8a2dVT · MalwareBazaar
  • SHA256 : 314f4b59535d1b783e1c20c2be00f9e30f8ed27b2e21fad06a73b47ea43279efVT · MalwareBazaar
  • SHA256 : 2d2a251a88632f010fd9671789746908eeccaa5bc5c0a5d25e4649efe4f5b15dVT · MalwareBazaar
  • SHA256 : 0857148fb0bc4aa7adf967ede2307bdb4fc427065d5b6a6db132688a5a8e1eb8VT · MalwareBazaar
  • SHA256 : e0a6a71c605d9a4076147e9537f82f79f1e1eccadc874595160aa4637ff4088cVT · MalwareBazaar
  • SHA256 : de82998ad5fcd63deae030803388e0fb4290d6223fda82368fd25b99b823f0d2VT · MalwareBazaar
  • SHA256 : 9d0a55c545c4147956db2c2667c4ed931a2875309147548b1dfdd216228f5f73VT · MalwareBazaar
  • Fichiers : vulkan-1.dll
  • Fichiers : vulkan-1.bin
  • Fichiers : libcef.dll
  • Fichiers : teamspeak_control.dll
  • Fichiers : Paperwork.zip
  • Fichiers : HR (2).zip
  • Fichiers : Alles in dem schuppen.zip
  • Fichiers : Alles in dem schuppen.exe
  • Fichiers : cg.exe
  • Chemins : C:\Program Files\Common Files
  • Chemins : C:\112.121.183.202ClientSetup.exe

Malware / Outils

  • Atlas RAT (rat)
  • RomulusLoader (loader)
  • SilentRunLoader (stealer)
  • ValleyRAT (rat)
  • Winos4.0 (framework)
  • HoldingHands (other)
  • AnyDesk (tool)
  • SyncFuture (tool)

🟢 Indice de vérification factuelle : 95/100 (haute)

  • ✅ proofpoint.com — source reconnue (liste interne) (20pts)
  • ✅ 35952 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 36 IOCs dont des hashes (15pts)
  • ✅ 6/12 IOCs confirmés (AbuseIPDB, MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
  • ✅ 26 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : TA4922, Silver Fox, Void Arachne (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • 206.238.115.58 (ip) → VT (5/91 détections)
  • 154.211.86.110 (ip) → VT (13/91 détections)
  • 584a9448dda46bd5… (sha256) → VT (43/76 détections)
  • ws.ztts88.cyou (domain) → VT (11/91 détections)
  • aeya388.club (domain) → VT (14/91 détections)

🔗 Source originale : https://www.proofpoint.com/us/blog/threat-insight/ta4922-suspected-chinese-crime-group-going-global