TA4922として追跡されている急速に進化する脅威クラスターは、中国語話者のサイバー犯罪アクターであり、Atlas RAT、RomulusLoader、SilentRunLoader、ValleyRATを含む多様かつ拡大するマルウェアツールセットを展開しています。
このグループは高い活動頻度、戦術の頻繁な切り替え、そしてカスタムマルウェアと正規ツールやクラウドサービスを融合させる能力で知られており、企業環境での検出を一層困難にしています。
最近のキャンペーンでは規模と巧妙さの両面で明らかな向上が見られており、人事・給与・税務・請求書をテーマにした地域適応型のソーシャルエンジニアリングルアーを活用した攻撃が展開されています。
これらのルアーは地域の言語やビジネス慣習に合わせて入念に作られており、攻撃の成功率を高めています。
Proofpointは、TA4922が金銭的動機を持ち、データ窃取・認証情報収集・詐欺・アクセス転売を目的として被害者システムへのリモートアクセス取得に注力していると評価しています。
従来のサイバー犯罪グループとは異なり、TA4922は複数の目的を持つ重複した作戦を頻繁に展開し、同一キャンペーン内でフィッシング、マルウェア配布、ソーシャルエンジニアリングを組み合わせています。
TA4922の顕著な特徴は、短期間に複数のマルウェアファミリーを使用することです。主要ペイロードの一つであるAtlas RATは、GoFileなどのプラットフォームでホストされている悪意のあるZIPアーカイブを通じてDLLサイドローディングで配信されます。
キャンペーンの主な標的は日本の組織ですが、台湾・韓国・シンガポール・インドを含むアジア各国も標的となっています。近月、このアクターは英国・ドイツ・イタリア・南アフリカのヨーロッパ組織へとグローバルな標的範囲を拡大しました。
2026年3月および4月に観測されたキャンペーンでは、人事部門をテーマにしたメールを使って被害者にファイルを実行させ、最終的にTCPポート886経由でコマンド&コントロールサーバーへ接続させました。
GBhackersと共有されたレポートでProofpointは、TA4922は少なくとも2025年春から活動を開始しており、当初は東アジア、特に日本の組織を標的としていたが、2026年にはヨーロッパおよびアフリカへと活動を拡大したと述べています。
このマルウェアは持続的なリモートアクセスを提供し、モジュール式プラグインベースの機能をサポートしています。
RomulusLoaderは、追加ペイロードのステージングに使用される新たに特定されたローダーファミリーです。同様のソーシャルエンジニアリング手法で配信され、DLLサイドローディングに加え、プロセスインジェクションや暗号化ペイロード配信といった高度な実行手法を使用します。
実行されると、永続性を確立し、svchost.exeなどのプロセスにインジェクションを行い、コマンド&コントロールインフラと通信して二次ペイロードを取得します。
TA4922による新たなRATの展開
注目すべきは、TA4922がRomulusLoaderを使用してAnyDeskなどの正規リモート管理ツールやSyncFutureを展開している点です。これにより攻撃者は悪意のある活動を通常の管理トラフィックに紛れ込ませることができます。
URLはGoFileにホストされているZIPファイル(「Paperwork.zip」や「HR (2).zip」などのファイル名)に誘導するものでした。これらには悪意のあるDLLファイル「libcef.dll」を含む実行ファイルが含まれており、実行するとDLLサイドローディングが発生し、Atlas RATが展開されました。
新たに観測された別のペイロードであるSilentRunLoaderは、Pythonベースのローダー兼スティーラーで、Google Chromeから機密データを収集するよう設計されています。
認証情報・Cookie・閲覧データをHTTP POSTリクエストで攻撃者が管理するインフラへ窃取します。分析によると、プレースホルダーAPIキーと単純なコード構造から、このマルウェアの一部はラージランゲージモデル(LLM)を使用して生成された可能性があります。
SyncFutureキャンペーンはドイツの組織を標的とし、ミュンヘン税務署(Finanzamt München)を装いました。メッセージは、受信者が税務調査を受けていると主張する内容でした。
SilentRunLoaderはDLLサイドローディングによってインストールされ、Chromeデータを「ws[.]ztts88[.]cyou」でホストされた既知のC2インフラへ窃取しました。このドメインはIPアドレス18[.]139[.]83[.]110に解決されます。
これはTA4922が自動化された開発手法を活用して、新たなマルウェアの亜種を迅速に量産していることを示唆しています。
マルウェアの展開に加え、TA4922はコミュニケーションを従来のメールチャネル外へ誘導しようとすることが頻繁にあります。キャンペーンでは多くの場合、被害者にLINE・WhatsApp・Microsoft Teamsなどのプラットフォームで会話を続けるよう指示します。
この戦術により、メールベースのセキュリティ制御における可視性が低下し、より効果的なソーシャルエンジニアリングが可能となります。
このアクターはSilver FoxやVoid Arachneとして知られるクラスターとインフラおよびツールの重複が見られますが、ProofpointはTA4922を独立したエンティティとして追跡しています。
中国語アーティファクトの一貫した使用、地域的な標的パターン、中国プロバイダーに関連するインフラは、中国語話者のエコシステムへの帰属をさらに裏付けています。
総じてTA4922は、高度なトレードクラフトと柔軟かつ急速に進化するマルウェア開発を組み合わせた、新世代のサイバー犯罪作戦の典型例といえます。
ペイロードのローテーション、正規ツールの悪用、グローバルな規模拡大という能力により、複数のセクターにわたる組織にとって重大な脅威となっています。
IOC(侵害の痕跡)
| インジケーター | 説明 | 初観測 |
| 206.238.115.58 | Atlas RAT C2 | 2026年3月6日 |
| a648db354820ea4d02940cb1702b35974513b7aae83f6dffaacaac4ba31f9295 | Atlas RATを配信するZIPアーカイブ(【給与調整のお知らせ】.zip) | 2026年3月6日 |
| 584a9448dda46bd590d7a2f86228100d2ae6e0d6d990c1a4459ed5ee28e07ae8 | Atlas RAT DLL(libcef.dll) | 2026年3月6日 |
| 154.211.86.110 | Atlas RAT C2 | 2026年4月2日 |
| 66a3836b9a17771bce2161f6b73cbc2494a91e49d6aa30d2d53711e8d10de60d | Atlas RATを配信するZIPアーカイブ(Paperwork.zip) | 2026年4月2日 |
| 4fcfa88fffacbce30bbe2136753c9ab5a4c092940d2406fd9d44d5118e745b9d | Atlas RATを配信するZIPアーカイブ(HR (2).zip) | 2026年4月2日 |
| a75eab31d7ff06b6864960ad7e633be3f9730ff3d3873e4539c8f425fc632dad | Atlas RAT DLL(libcef.dll) | 2026年4月2日 |
| 43.156.77.97 | RomulusLoader C2 | 2026年3月23日 |
| 40b41979b317406f8abc601677a3b93aaf6ef8ab8ac188b8f383735e388f13b5 | RomulusLoaderを配信するRARアーカイブ(会社文書.rar) | 2026年3月23日 |
| 8c9b6542f73c5c7fe455b52f5101314407da4f65ff48e7ebf6896605e607c8d0 | RomulusLoader DLL(vulkan-1.dll) | 2026年3月23日 |
| 3119cf37b8267db8a2dcd11d9a83d5237d7ef1e42388e7c9afa2831b91da8a2d | RomulusLoader コンポーネント(vulkan-1.bin) | 2026年3月23日 |
| https://nwphotoblog[.]com | RomulusLoader / SyncFuture キャンペーンで使用されたURL(ダウンロードボタン付きランディングページをホスト) | 2026年4月16日 |
| 103.214.172.33 | RomulusLoader 第1ステージC2 | 2026年4月16日 |
| 314f4b59535d1b783e1c20c2be00f9e30f8ed27b2e21fad06a73b47ea43279ef | RomulusLoader / SyncFuture ZIP(Alles in dem schuppen.zip) | 2026年4月16日 |
| 2d2a251a88632f010fd9671789746908eeccaa5bc5c0a5d25e4649efe4f5b15d | RomulusLoader / SyncFuture 実行ファイル(Alles in dem schuppen.exe) | 2026年4月16日 |
| 0857148fb0bc4aa7adf967ede2307bdb4fc427065d5b6a6db132688a5a8e1eb8 | RomulusLoader / SyncFuture DLL(teamspeak_control.dll) | 2026年4月16日 |
| https://ws.ztts88[.]cyou/file/cg[.]exe | SilentRunLoader ダウンロードURL | 2026年3月30日 |
| https://ws.ztts88[.]cyou/upload[.]php | SilentRunLoader データ窃取URL | 2026年3月30日 |
| e0a6a71c605d9a4076147e9537f82f79f1e1eccadc874595160aa4637ff4088c | SilentRunLoader 実行ファイルSHA256 | 2026年3月30日 |
| 18[.]139[.]83[.]110 | SilentRunLoader データ窃取IP | 2026年3月30日 |
| de82998ad5fcd63deae030803388e0fb4290d6223fda82368fd25b99b823f0d2 | SilentRunLoader ZIP SHA256 | 2026年4月10日 |
| 9d0a55c545c4147956db2c2667c4ed931a2875309147548b1dfdd216228f5f73 | SilentRunLoader 実行ファイルSHA256 | 2026年4月10日 |
注記: IPアドレスとドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的にデファング(例:[.])されています。MISP、VirusTotal、SIEMなどの管理されたスレットインテリジェンスプラットフォーム内でのみ、リファングして使用してください。
翻訳元: https://gbhackers.com/ta4922-deploys-new-rat/
