Китайскоязычная группа TA4922 с марта 2026 года резко нарастила активность и вывела Atlas RAT в атаки на организации в Германии, Италии, Великобритании и ЮАР. Для русскоязычной IT-аудитории это не очередная история про «где-то там взломали кого-то»: перед нами хорошо поставленный криминальный конвейер, который быстро меняет приманки, каналы доставки и набор вредоносов, а значит, может так же быстро масштабироваться и на другие рынки.
По данным BleepingComputer, TA4922 раньше чаще светилась в атаках по Восточной Азии, но в последних кампаниях заметно сместила фокус на европейские компании. Исследователи Proofpoint связывают кластер с активностью, ранее описанной под именами Silver Fox и Void Arachne, но отдельно подчеркивают: текущий профиль больше похож не на классический шпионаж, а на киберкриминал с понятной монетизацией. Цели тоже прозаичные и потому опасные: мошенничество, кража данных и продажа доступа во внутренние сети.
Фишинг стал локальнее, темп атак — выше
Самая неприятная деталь в этой истории не только новый набор malware, а темп операций. Proofpoint прямо пишет, что TA4922 сейчас проводит больше уникальных кампаний, чем любой другой отслеживаемый компанией киберпреступный актор. С апреля у группы выросло и разнообразие операций: разные цепочки заражения, разные легенды писем, несколько задач одновременно. Для защитников это плохая новость. Когда противник не ездит по одному и тому же маршруту, типовые правила в почтовых шлюзах и EDR быстрее превращаются в декоративный элемент.
Приманки максимально приземленные и локализованные под конкретную страну и бизнес-процесс. В ход идут уведомления о зарплате, налоговые проверки, подача деклараций по НДС, требования регуляторов, счета и HR-коммуникации. Иными словами, злоумышленники бьют не в «любопытство пользователя», а в операционную рутину компании, где письмо про налоги или payroll часто выглядит скучно, но правдоподобно. Отдельно стоит канал доставки: жертв пытаются дожимать не только по почте, но и через WhatsApp, LINE и Microsoft Teams. Для компаний это еще один сигнал, что защита почты сама по себе давно не равна защите коммуникаций.
Есть и еще один штрих, который хорошо описывает зрелость таких групп: TA4922 не ограничивается одним семейством вредоносного ПО. Если одна цепочка перестает работать, ее можно быстро заменить другой. Если один файл ловится антивирусом, следующая волна придет с новым загрузчиком, новой упаковкой или через легитимный удаленный инструмент. Такая модульность уже давно стала нормой для атакующих, но у TA4922, судя по отчету, она доведена до промышленного уровня.
Atlas RAT, новые загрузчики и намек на кодогенерацию ИИ
Главная техническая новинка кампаний — Atlas RAT, недавно обнаруженный троян удаленного доступа. Его набор функций выглядит без лишней экзотики, но именно поэтому опасен: разведка системы, точечная кража файлов, загрузка плагинов и дополнительных полезных нагрузок, кейлоггинг, снятие скриншотов, запись аудио и видео с веб-камеры, а также команды на выключение и перезагрузку машины. Это уже не просто «зашли и забрали куки», а полноценная платформа для длительного присутствия внутри инфраструктуры и слежения за пользователем.
Atlas RAT умеет и усложнять жизнь аналитикам: в загрузчике есть антисэндбокс- и антианалитические проверки. Среди них поиск имен пользователей и ключей реестра, связанных с Microsoft Defender Application Guard, проверка сервиса CExecSvc и UUID операционной системы. Такие меры сами по себе не делают malware неуловимым, но повышают шансы, что образец поведет себя «тише» в тестовой среде и проживет дольше в реальной сети. Для SOC это означает простую вещь: рассчитывать только на автоматический разбор в песочнице уже наивно.
Вместе с Atlas RAT исследователи заметили новый загрузчик RomulusLoader. Его задача — скачать и запустить следующие стадии атаки через process hollowing, инъекцию shellcode или прямое выполнение. Любопытно, что через него злоумышленники разворачивали и легитимные средства удаленного доступа, включая AnyDesk и SyncFuture, систему удаленного мониторинга, популярную в Китае. Последняя фигурировала в атаках на немецкие организации. Для администраторов тут нет приятного вывода: наличие «белого» remote tool в инфраструктуре больше не означает, что речь идет о штатной поддержке, особенно если его появление не бьется с процессами закупки, инвентаризации и доступа.
Еще один компонент арсенала — SilentRunLoader, загрузчик и стилер на Python. Он нацелен на кражу учетных данных, cookies и истории браузера Google Chrome и применялся против организаций в Великобритании и Юго-Восточной Азии под видом государственных сервисов. Наконец, Proofpoint зафиксировала и использование Winos4.0, известного семейства, которое компания отслеживает как ValleyRAT. То есть группа одновременно работает и с новыми инструментами, и с уже обкатанными семействами. Это хороший индикатор того, что речь идет не о разовой вспышке, а о развивающейся операционной модели.
Отдельный момент, который наверняка зацепит техдиров и разработчиков защитных продуктов: Proofpoint предполагает, что злоумышленники могли использовать большие языковые модели для ускорения разработки malware. Исследователи опираются на косвенные признаки вроде placeholder-значений, комментариев в коде и паттернов, типичных для AI-сгенерированного кода. Делать из этого громкий вывод «ИИ уже пишет вредоносы вместо людей» рано, но прагматичный вывод другой: барьер на производство новых вариантов инструментов продолжает снижаться. Если раньше преступной группе нужно было больше времени на доработку загрузчиков, обвязки и мелких утилит, теперь этот цикл, похоже, можно сокращать.
Для бизнеса смысл новости предельно конкретный. Во-первых, география больше не спасает: группа, которая раньше ассоциировалась с Восточной Азией, спокойно переходит к европейским целям. Во-вторых, защита должна смотреть не только на вредоносные файлы, но и на неожиданный запуск легитимных средств удаленного доступа, нестандартную активность в Teams и мессенджерах, а также на массовые письма под налоговые и HR-процессы. В-третьих, если оператор сочетает кражу данных, продажу доступа и потенциально пригодные для слежки инструменты, граница между киберкриминалом и шпионскими сценариями становится не такой уж четкой. И это, пожалуй, главный вопрос после истории с Atlas RAT: сколько еще групп перейдут на такой же гибридный формат, где один и тот же инструментарий одинаково хорошо подходит и для быстрой монетизации, и для тихого наблюдения. Подробности кампаний и индикаторы компрометации собраны в материале .