Một nhóm tội phạm mạng tinh vi được biết đến với tên gọi TA4922 đang gây báo động trong cộng đồng an ninh mạng toàn cầu. Nhóm này triển khai một kho vũ khí mã độc ngày càng mở rộng, bao gồm Atlas RAT, RomulusLoader, SilentRunLoader và ValleyRAT, nhằm vào các tổ chức ở Nhật Bản, Vương quốc Anh, Đức và khắp khu vực Đông Nam Á.
Các chiến dịch tấn công mạng này được thúc đẩy bởi động cơ tài chính và cho thấy một mức độ lập kế hoạch vượt trội so với các nhóm tội phạm thông thường. Phạm vi hoạt động của TA4922 không còn giới hạn trong khu vực mà đang trở thành một mối đe dọa mạng TA4922 mang tính toàn cầu.
Tổng quan về nhóm tội phạm mạng TA4922 và phương thức hoạt động
Bản chất và mục tiêu của TA4922
Điều làm cho TA4922 trở nên đặc biệt nguy hiểm là cách chúng lừa đảo nạn nhân. Nhóm này gửi các email được soạn thảo kỹ lưỡng, giả mạo là tin nhắn từ phòng nhân sự, cơ quan thuế hoặc bộ phận tính lương.
Các tin nhắn này được viết bằng ngôn ngữ địa phương của mục tiêu và đủ thuyết phục để đánh lừa ngay cả những nhân viên cẩn trọng. Khi nạn nhân nhấp vào một liên kết hoặc mở một tệp đính kèm, mã độc sẽ tự cài đặt một cách âm thầm.
Các nhà phân tích tại Proofpoint đã xác định và tài liệu hóa hoạt động này trong một báo cáo chi tiết về mối đe dọa. Theo Proofpoint, TA4922 là một tác nhân cực kỳ tinh vi với kho vũ khí mã độc phát triển nhanh chóng.
Nhóm này được đánh giá là có động cơ tài chính, với các mục tiêu bao gồm đánh cắp dữ liệu, gian lận và duy trì quyền truy cập liên tục vào môi trường của nạn nhân. Proofpoint lưu ý rằng TA4922 hiện đang thực hiện nhiều chiến dịch độc đáo hơn bất kỳ tác nhân tội phạm mạng nào khác mà họ theo dõi trong dữ liệu mối đe dọa của mình. Để biết thêm chi tiết, độc giả có thể tham khảo báo cáo của Proofpoint tại blog của Proofpoint.
Phạm vi và sự phát triển của TA4922
Nhóm TA4922 lần đầu tiên xuất hiện trong tầm ngắm của Proofpoint vào mùa xuân năm 2025, ban đầu tập trung vào Đông Á. Đến đầu năm 2026, TA4922 đã mở rộng đáng kể hoạt động sang Châu Âu và Nam Phi.
Nhóm này kết hợp các hoạt động độc hại với các công cụ hợp pháp và dịch vụ lưu trữ đám mây đáng tin cậy. Điều này làm cho các cuộc tấn công của chúng khó bị phát hiện xâm nhập hơn.
Arsenal mã độc và kỹ thuật khai thác của TA4922
Atlas RAT: Chức năng và triển khai
Một trong những khía cạnh đáng báo động hơn trong hành vi của TA4922 là tốc độ xây dựng công cụ mới. Proofpoint đánh giá với độ tin cậy cao rằng nhóm này có thể sử dụng các công cụ mã hóa dựa trên AI để phát triển nhanh chóng các mã độc dựa trên Python mới.
Các giá trị giữ chỗ không thay đổi trong mã của SilentRunLoader, chẳng hạn như chuỗi “your_secret_key_here,” cho thấy mã có thể đã được tạo ra với sự xem xét tối thiểu. Chu kỳ phát triển nhanh chóng này có nghĩa là các nhà phòng thủ liên tục phải đối phó với các biến thể mới.
TA4922 đã thực hiện một số chiến dịch tấn công mạng đáng chú ý từ tháng 3 đến tháng 4 năm 2026, mỗi chiến dịch đều triển khai mã độc khác nhau. Đầu tháng 3, nhóm này đã gửi email theo chủ đề nhân sự tới các tổ chức ở Nhật Bản, giả mạo là thông báo điều chỉnh lương.
Các email này mang theo các tệp ZIP được lưu trữ trên GoFile, và một khi được mở, chúng sẽ kích hoạt kỹ thuật DLL sideloading để cung cấp Atlas RAT. Atlas RAT sau đó kết nối với máy chủ command-and-control (C2) tại 206.238.115.58 qua cổng 886.
Một chiến dịch Atlas RAT thứ hai vào tháng 4 đã nhắm mục tiêu vào các tổ chức ở Vương quốc Anh và Đức. Chiến dịch này sử dụng các mồi nhử HR với tên tệp như “Paperwork.zip”.
Atlas RAT là một backdoor đầy đủ tính năng với các khả năng bao gồm ghi nhật ký gõ phím (keylogging), chụp màn hình, ghi hình webcam, quản lý tệp và thực thi lệnh từ xa. Nó thực hiện nhiều kiểm tra chống sandbox và giao tiếp với máy chủ C2 bằng mã hóa ChaCha.
RomulusLoader và các công cụ hợp pháp
RomulusLoader xuất hiện vào cuối tháng 3, nhắm mục tiêu vào các tổ chức Nhật Bản thông qua các tệp được lưu trữ trên LimeWire.
Giữa tháng 4, TA4922 đã sử dụng RomulusLoader để đẩy các công cụ giám sát từ xa hợp pháp như AnyDesk và SyncFuture. Việc này giúp chúng hòa lẫn vào lưu lượng mạng thông thường, gây khó khăn cho việc phát hiện xâm nhập.
SilentRunLoader: Tấn công thông tin đăng nhập
SilentRunLoader được triển khai chống lại các mục tiêu ở Vương quốc Anh. Công cụ này sử dụng các email giả mạo cơ quan thuế để đánh cắp thông tin đăng nhập Chrome và gửi chúng đến một máy chủ do kẻ tấn công kiểm soát.
ValleyRAT và khung Winos4.0
ValleyRAT, được xây dựng trên khung Winos4.0, bổ sung khả năng hỗ trợ tấn công DDoS và tải xuống các mô-đun bổ sung theo yêu cầu. Kết hợp lại, những công cụ này cung cấp cho mối đe dọa mạng TA4922 quyền truy cập sâu và liên tục vào các hệ thống bị xâm nhập.
Chỉ số IOCs (Indicators of Compromise) của TA4922
Để hỗ trợ các nhóm bảo mật trong việc phát hiện xâm nhập và ứng phó, dưới đây là các chỉ số thỏa hiệp (IOCs) liên quan đến các chiến dịch tấn công mạng của TA4922. Các địa chỉ IP và tên miền được làm mất dấu ([.]) để ngăn chặn việc truy cập hoặc liên kết ngoài ý muốn. Vui lòng khôi phục dấu chấm chỉ trong môi trường tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
- Địa chỉ IP C2: 206.238.115[.]58
- Cổng C2: 886 (Atlas RAT), 1234 (RomulusLoader)
- Nền tảng lưu trữ mã độc: GoFile, LimeWire
- Mã độc được sử dụng: Atlas RAT, RomulusLoader, SilentRunLoader, ValleyRAT
- Công cụ hợp pháp bị lạm dụng: AnyDesk, SyncFuture
- Kỹ thuật tấn công: DLL Sideloading, Email phishing
Biện pháp phòng ngừa và phát hiện xâm nhập hiệu quả
Các tổ chức cần hành động ngay để giảm thiểu rủi ro từ mối đe dọa mạng TA4922. Proofpoint khuyến nghị một số biện pháp cụ thể để tăng cường an ninh mạng.
Tăng cường bảo vệ endpoint
Thực thi chính sách allowlisting ứng dụng trên các thư mục tin cậy để ngăn chặn các tệp thực thi không được phê duyệt chạy. Các nhóm nên giám sát hoặc ngăn chặn việc thực thi từ các thư mục tạm thời như %TEMP% và %APPDATA%, những nơi thường bị mã độc như RomulusLoader lạm dụng. Giám sát các tệp thực thi được ghi vào thư mục gốc có thể giúp nắm bắt hoạt động đáng ngờ sớm.
Giám sát lưu lượng mạng
Các nhà phòng thủ mạng nên gắn cờ lưu lượng truy cập đến các cổng bất thường, đặc biệt là cổng 1234, được sử dụng bởi hạ tầng C2 của RomulusLoader. Việc áp dụng các nguyên tắc quyền hạn tối thiểu (least-privilege) trên tất cả các tài khoản sẽ hạn chế mức độ thiệt hại mà kẻ tấn công có thể gây ra khi đã xâm nhập vào mạng.
Đào tạo nhận thức về an ninh
Do TA4922 được biết đến là có khả năng chuyển hướng nạn nhân từ email sang các nền tảng nhắn tin như WhatsApp và Microsoft Teams, các nhóm bảo mật nên đào tạo nhân viên để nhận biết và báo cáo các hành vi kỹ thuật xã hội này trước khi chúng dẫn đến một cuộc xâm nhập hoàn toàn.
