Пријави инцидент
Пријави инцидент

Кинески хакери користат нов Atlas RAT маливер во сајбер-напади во Европа

Објавено: 04.06.2026

Група сајбер-криминалци што зборува кинески го проширила своето таргетирање кон Европа, при што користи претходно недокументиран маливер и backdoor наречен Atlas.

Групата, следена под името TA4922, е поврзана со напади мотивирани од финансиска добивка, чија цел е пробивање во целни мрежи за измама, кражба на податоци и продажба на пристап.

TA4922 претходно таргетирала организации во Источна Азија, но неодамнешните кампањи се насочени кон субјекти во Германија, Италија, Обединетото Кралство и Јужна Африка.

Истражувачи од сајбер-безбедносната компанија Proofpoint забележуваат дека TA4922 има преклопувања со активности претходно пријавени како „Silver Fox“ и „Void Arachne“. Сепак, оваа активност се следи како посебен кластер, бидејќи повеќе одговара на сајбер-криминал отколку на шпионажа.

Од март наваму, активностите на TA4922 значително се зголемиле, а од април покажуваат досега невидена оперативна разновидност и висок интензитет.

„TA4922 моментално спроведува повеќе уникатни кампањи од било кој друг следен сајбер-криминален актер во нашите податоци, што покажува висок оперативен темпо, разновидни мамки и повеќе цели,“ наведува Proofpoint во денешниот извештај.

„Иако се проценува дека актерот е финансиски мотивиран, способностите на малиерот вклучуваат потенцијал за надзор, кој може да биде користен од или продаден на шпионски групи.“

Напаѓачот користи локализирани фишинг-мамки што изгледаат како известувања за плати, даночни проверки, ДДВ пријави, владини известувања за усогласеност, фактури и комуникации од оддели за човечки ресурси.

Групата исто така се обидува да контактира жртви преку WhatsApp, LINE и Microsoft Teams.

Германска мамка

Atlas RAT и прилагодени лоадери

Proofpoint известува дека TA4922 значително го проширил својот арсенал на малвер и смета дека хакерите можеби користат големи јазични модели (LLMs) за да го забрзаат развојот на малвер.

Овој заклучок се базира на присуство на „placeholder“ вредности, програмерски коментари и обрасци кои најчесто се поврзуваат со код генериран од вештачка интелигенција.

Извештајот на Proofpoint го истакнува Atlas RAT, неодамна идентификуван тројанец за далечински пристап кој им нуди на напаѓачите следниве можности:

  • Системска извидница (system reconnaissance)
  • Целно крадење датотеки
  • Преземање приклучоци (plugins) и дополнителни payload-и
  • Keylogging (снимање на притиснати тастери)
  • Снимање слики од екран
  • Снимање звук и видео преку веб-камера
  • Команди за исклучување или рестартирање на системот

Малверот вклучува неколку проверки против sandbox и анализа, вклучувајќи проверка на кориснички имиња и registry клучеви поврзани со Microsoft Defender Application Guard, услугата „CExecSvc“ и OS UUID.

Проверки извршени од Atlas RAT лоадерот

Истражувачите исто така откриле нов малвер-лоадер наречен RomulusLoader, кој презема и извршува дополнителни payload-и користејќи техники како process hollowing, shellcode injection и директно извршување.

RomulusLoader бил користен за стартување легитимни алатки за далечинско управување, како AnyDesk и SyncFuture, алатка за далечински мониторинг која е популарна во Кина. Интересно, оваа последната била користена во напади насочени кон германски ентитети.

Преглед на операцијата на RomulusLoader

Proofpoint исто така идентификуваше Python-базиран лоадер и крадец на информации наречен SilentRunLoader, кој краде податоци од Google Chrome, вклучувајќи акредитиви, колачиња (cookies) и податоци за прелистување.

Овој малвер бил користен против организации во Обединетото Кралство и Југоисточна Азија, при што се користеле фишинг-мамки што имитирале владини услуги.

На крај, истражувачите забележале и употреба на Winos4.0, претходно документирана фамилија на малвер која Proofpoint ја следи под името ValleyRAT и која им овозможува на операторите целосен сет на функции за далечински пристап.

Според Proofpoint, TA4922 е одговорен за „повеќе уникатни кампањи“ од кој било друг заканувачки актер што компанијата го следи. Групата се движи брзо и користи повеќе различни мамки.

Според истражувачите, способностите на малверот што го користи овој актер имаат „потенцијал за надзор, кој може да биде користен од или продаден на шпионски групи“.

Извештајот на Proofpoint вклучува индикатори за компромитација (IoCs) за малверот и инфраструктурата за командување и контрола (C2) што се користи во нападите на TA4922.

Извори:

  • Bleeping Computer – Chinese hackers use new Atlas RAT malware in European cyberattacks Bleeping Computer