TA4922钓鱼投递RomulusLoader与Atlas RAT
摘要
Proofpoint跟踪的新命名网络犯罪团伙TA4922在3月至4月加大钓鱼活动,通过企业邮箱投递带有AI辅助生成内容的诱饵邮件,试图远程进入受害者环境以实施数据窃取、欺诈及倒卖访问权限。其邮件主题伪装为税务稽核、人力资源通知或客服沟通,并引导收件人访问文件共享平台上的URL下载ZIP文件;受害者打开含恶意DLL的ZIP并触发DLL侧加载后,会部署新发现的RomulusLoader或SilentRunLoader以投递更多恶意软件。SilentRunLoader为Python信息窃取程序,代码中存在大量未替换占位符及简体中文注释,被评估为使用LLM快速生成。部分邮件还投递远控木马Atlas RAT,该多阶段后门可与C2交互下载核心模块与插件,具备侦察、数据外传、音视频录制、键盘记录、剪贴板与截图窃取及重启系统等能力。主要受害地区为日本,同时覆盖印度、新加坡以及英国、德国等组织。Atlas RAT此前与高级威胁行为体Silver Fox关联,TA4922与其在工具上存在重叠,但因将恶意软件与AI编辑类应用捆绑的方式不同而被视为独立行为体。
正文
## 事件背景 TA4922是一个以经济利益为动机的网络犯罪团伙,近期在网络钓鱼活动中使用人工智能辅助的恶意软件,主要针对日本及其他亚洲国家如印度和新加坡,以及英国和德国的欧洲组织。该团伙在2026年3月和4月期间加大了网络钓鱼活动,旨在远程进入受害者环境进行数据盗窃、欺诈和访问权限转售。 ## 攻击手法 TA4922的攻击手法包括发送伪装成税务审计、内部人力资源通知或客户服务通信的电子邮件,诱使受害者点击链接并下载包含恶意DLL文件的ZIP文件。该团伙使用的加载器包括RomulusLoader和SilentRunLoader,后者是一个基于Python的窃取工具,攻击者称其为'silent_run_and_upload.py'。此外,TA4922还可能使用Atlas RAT,这是一种多阶段的远程访问木马,具备数据外泄、音视频录制、键盘记录和屏幕截图等功能。该团伙被认为利用大型语言模型(LLMs)快速开发新的Python恶意软件,显示出其在网络犯罪生态系统中的技术能力。 ## 影响评估 该安全事件的发生原因在于网络犯罪团伙利用先进的人工智能技术降低了进入网络犯罪行业的门槛,导致网络钓鱼和恶意软件的生产速度加快。事件影响包括对受害者数据的潜在盗窃、财务欺诈,以及可能的监视能力,这些能力可能被间谍组织利用或出售。 ## 处置建议 针对该安全事件的应对措施包括提高员工的网络安全意识,识别和防范钓鱼邮件,以及加强对电子邮件内容的审查。同时,组织应部署先进的安全防护工具,监测和阻止恶意软件的传播,并定期更新安全策略以应对新出现的威胁。
标签
- group:银狐
- silverfox
- tag:Atlas RAT
- tag:RomulusLoader
- tag:SilentRunLoader
- tag:银狐
- threatbook
- threat_intelligence
扩展字段
{
"attack_method": {
"attack_type": null,
"attck_count": 0,
"is_command": null,
"is_new_attack": null
},
"event_types": [],
"gpt_tags": [
"SilentRunLoader",
"银狐",
"Atlas RAT",
"RomulusLoader"
],
"malware_name": [
"silent_run_and_upload.py"
],
"reference_links": [
"https://nationalcybersecurity.com/chinese-cybercrime-group-deploys-ai-coded-malware-campaigns-cybercrime-infosec/"
],
"related_anonymous": "银狐",
"target_area": null,
"target_country": [
"新加坡",
"日本",
"英国",
"印度",
"德国"
],
"target_industry_type": [
"国央企"
]
}