An ninh mạng

Nhóm tội phạm mạng TA4922 mở rộng tấn công phishing sang châu Âu và Nam Phi

Nhóm tin tặc TA4922 có liên hệ với Trung Quốc đang mở rộng quy mô tấn công phishing nhắm vào các tổ chức tại Anh, Đức, Ý và Nam Phi, sử dụng loạt malware tinh vi để đánh cắp dữ...

Nguyen Hung
5 Tháng 6, 2026 2 Min Read
3 0

Proofpoint vừa phát đi cảnh báo về hoạt động của TA4922, một nhóm tội phạm mạng có liên hệ với Trung Quốc, đang mở rộng phạm vi tấn công sang các quốc gia châu Âu như Anh, Đức, Ý và khu vực Nam Phi. Trước đây, nhóm này chủ yếu tập trung vào khu vực Đông Á.

Theo các chuyên gia bảo mật, TA4922 duy trì nhịp độ hoạt động rất nhanh với kho vũ khí malware liên tục được cập nhật. Bên cạnh các dòng mã độc quen thuộc như ValleyRAT (còn gọi là Winos 4.0) và Atlas RAT, nhóm này còn triển khai các công cụ mới chưa từng được ghi nhận trước đây là RomulusLoaderSilentRunLoader.

Phương thức tấn công tinh vi

TA4922 được đánh giá là nhóm tội phạm có động cơ tài chính rõ rệt. Mục tiêu chính của chúng là chiếm quyền truy cập từ xa vào môi trường của nạn nhân để thực hiện các hành vi trục lợi như đánh cắp dữ liệu, lừa đảo tài chính hoặc bán lại quyền truy cập hệ thống. Điểm đáng chú ý là nhóm này thường xuyên thay đổi chiến thuật để vượt qua các biện pháp bảo mật doanh nghiệp.

Một trong những thủ đoạn mới là chuyển hướng giao tiếp từ email sang các kênh nhắn tin như LINE, WhatsApp và Microsoft Teams. Việc này giúp tin tặc dễ dàng bypass các kiểm soát an ninh của doanh nghiệp để phát tán malware hoặc đánh cắp thông tin nhạy cảm.

Các chiến dịch tiêu biểu

Dựa trên các báo cáo gần đây, TA4922 sử dụng các chủ đề giả mạo liên quan đến nhân sự, hóa đơn và cơ quan thuế để lừa người dùng:

  • Phát tán mã độc: Sử dụng kỹ thuật DLL side-loading để cài đặt Atlas RAT hoặc RomulusLoader vào máy tính nạn nhân.
  • Đánh cắp dữ liệu: SilentRunLoader được thiết kế để thu thập thông tin từ trình duyệt Google Chrome, bao gồm mật khẩu lưu trữ, cookie và lịch sử duyệt web.
  • Cài đặt công cụ điều khiển từ xa: Trong một số chiến dịch, nhóm này còn triển khai AnyDesk và SyncFuture để duy trì quyền kiểm soát hệ thống.

Mặc dù mục tiêu chính là tài chính, các chuyên gia cảnh báo rằng khả năng giám sát của các loại malware này cũng có thể bị lợi dụng cho mục đích gián điệp. Các tổ chức cần nâng cao cảnh giác trước các chiến dịch phishing ngày càng phức tạp, bất kể vị trí địa lý của doanh nghiệp.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept