I ricercatori di Proofpoint hanno rilevato nuovi attacchi di cyberspionaggio effettuati dal gruppo cinese TA4922. I cybercriminali sono attivi da oltre un anno e hanno finora colpito organizzazioni in Giappone, Taiwan, Singapore, Corea del Sud e India. Più recentemente hanno preso di mira aziende che si trovano in paesi europei, tra cui Italia, Germania e Regno Unito. Per queste campagne è stato utilizzato Atlas RAT.
Descrizione degli attacchi recenti
I cybercriminali cinesi utilizzano varie tecniche per ingannare le potenziali vittime. In alcuni casi tentano anche di contattarle tramite WhatsApp, LINE e Microsoft Teams, ma il metodo più diffuso è il tradizionale phishing. I dipendenti delle organizzazioni ricevono email con messaggi che sembrano arrivare dal responsabile delle risorse umane. È quindi presente un link ad un archivio ZIP (ospitato sul servizio GoFile) che contiene un importante documento.
All’interno del file sono invece presenti un eseguibile e una DLL. Quando l’utente avvia l’eseguibile, la DLL viene caricata in memoria (DLL sideloading) e inizia l’infezione con Atlas RAT. Come si deduce dal nome è un malware che consente l’accesso remoto al computer. In alternativa, l’archivio ZIP viene allegato all’email.
Atlas RAT consente anche di eseguire altre azioni, tipiche di uno spyware. I cybercriminali possono raccogliere informazioni sul sistema target, esfiltrare dati, caricare payload aggiuntivi, registrare audio e video con la webcam, catturare i tasti premuti (keylogging), scattare screenshot, accedere al contenuto degli appunti (clipboard) e inviare comandi di riavvio o spegnimento del computer.
Atlas RAT include specifici moduli anti-analisi e anti-sandbox, quindi termina se stesso quando rileva tool usati dai ricercatori di sicurezza. Il malware invia infine i dati raccolti al server C2 (command and control). Proofpoint ha fornito alcuni suggerimenti per limitare i rischi, tra cui il monitoraggio del file system e del traffico di rete.
Ti potrebbe interessare
8 giu 2026