TA4922钓鱼行动扩至多国并混用RAT与RMM
摘要
2025年春季起,一个中文网络犯罪行动TA4922进入安全监测视野,早期主要以日本为核心目标,使用税务主题钓鱼、冒充真实员工等方式诱导受害者,并通过远控木马获取系统访问权限。到2026年4月-2026年6月初,该团伙在两个月内显著提速并快速扩张到多国,同时在投递方式、后续链路与载荷选择上呈现“多工具、多路径、强适配”的特征,给邮件安全拦截、恶意样本分类与归因带来更高不确定性。主要包含3个关键安全要点。 1、2025年春季-2026年6月初:TA4922将钓鱼活动从日本扩展到东亚与欧洲、非洲多国(日本占比仍最高,覆盖台湾、韩国、新加坡、马来西亚、印度尼西亚,以及英国、德国、意大利和南非),诱饵邮件严格本地化到语言与方言层面,常冒充财务部门、税务机关、人力资源团队或受害者同事,以税务与发票等金融主题实施社会工程;大规模使用成千上万一次性发件人地址(常见于Outlook/Hotmail/Gmail)并呈现结构化批量生成特征,以规避基于信誉的拦截;邮件仅用于“搭线”后经常引导受害者转移到Microsoft Teams或WhatsApp等监控较弱的沟通渠道以继续操控。 2、2026年4月-202
正文
## 事件背景 TA4922是一个网络犯罪组织,首次出现在2025年春季,最初主要针对日本的组织,通过税务主题的钓鱼邮件进行攻击。随着时间推移,该组织的活动范围显著扩大,开始针对东亚和欧洲的多个国家,包括台湾、韩国、新加坡、马来西亚、意大利和南非等。该组织的目标通常是商业和金融实体,利用伪装的邮件进行诱骗。 ## 攻击手法 TA4922使用多种战术和技术进行攻击,包括通过电子邮件发送恶意链接或附加压缩文件。其常用的恶意软件包括ValleyRAT和Atlas RAT,此外还使用合法的远程监控和管理软件如AnyDesk。攻击链中可能涉及动态链接库(DLL)侧载,或直接引导受害者访问凭证钓鱼页面。该组织使用成千上万的可丢弃发件地址,避免被声誉阻止,且常鼓励受害者转向Microsoft Teams或WhatsApp等不易监控的平台进行沟通。 ## 影响评估 TA4922的攻击活动造成了广泛的影响,涉及多个国家和行业。其灵活多变的攻击手法使得受害者难以防范,增加了组织的网络安全风险。该组织的活动不仅影响了商业运作,还可能导致敏感信息泄露和财务损失。 ## 处置建议 针对TA4922的攻击,建议采取多层次的安全防护措施,包括加强邮件过滤、监控可疑活动、培训员工识别钓鱼邮件,以及定期更新和打补丁以防止恶意软件入侵。同时,组织应考虑使用多因素认证和加强对远程访问工具的管理,以降低潜在风险。
标签
- group:银狐
- silverfox
- tag:Atlas RAT
- tag:RMM
- tag:RomulusLoader
- tag:SilentRunLoader
- tag:ValleyRAT
- tag:银狐
- threatbook
- threat_intelligence
扩展字段
{
"attack_method": {
"attack_type": null,
"attck_count": 0,
"is_command": null,
"is_new_attack": null
},
"event_types": [],
"gpt_tags": [
"RMM",
"ValleyRAT",
"SilentRunLoader",
"银狐",
"Atlas RAT",
"RomulusLoader"
],
"malware_name": null,
"reference_links": [
"https://www.darkreading.com/threat-intelligence/china-ta4922-cybercrime-attacks-globally"
],
"related_anonymous": "银狐",
"target_area": null,
"target_country": [
"马来西亚",
"中国台湾",
"意大利",
"韩国",
"新加坡",
"印度尼西亚",
"日本",
"英国",
"南非",
"德国"
],
"target_industry_type": [
"国央企",
"金融"
]
}