Die chinesische Cybercrime-Gruppe TA4922 hat ihren Aktionsradius ausgeweitet. Bisher vor allem in Ostasien aktiv, richten sich ihre Kampagnen laut einem neuen Proofpoint-Bericht jetzt auch gegen Organisationen in Deutschland, Großbritannien, Italien und Südafrika. Mitgebracht hat die Gruppe ein neues Malware-Werkzeug: den Remote-Access-Trojaner Atlas RAT — der für eine Cybercrime-Gruppe bemerkenswert breite Überwachungsfähigkeiten mitbringt.
Von Ostasien nach Europa: TA4922 und ihr Vorgänger-Portfolio
TA4922 ist keine Neugründung. Proofpoint sieht Überschneidungen mit früheren Gruppen, die als „Silver Fox“ und „Void Arachne“ bekannt waren. Als eigenständiger Akteur wird TA4922 geführt, weil der Fokus auf klassische Cyberkriminalität liegt — Betrug, Datendiebstahl, Verkauf von Netzwerkzugängen — und nicht auf staatliche Spionage.
Bis März 2026 war Europa noch kein Hauptzielgebiet. Seitdem hat sich das in kurzer Zeit geändert: Die Anzahl einzigartiger Kampagnen übersteigt laut Proofpoint die aller anderen verfolgten Cybercrime-Gruppen. Für KMU-Kunden, die ich betreue, ist das kein abstrakt-strategisches Warnsignal — eine lokalisierte Phishing-Mail, die wie eine interne HR-Mitteilung aussieht, landet genauso in einem 15-Mann-Betrieb wie beim Konzern.
Was Atlas RAT kann — und warum das nicht gewöhnlich ist
Das neue Kernstück im Malware-Arsenal ist Atlas RAT. Der Remote-Access-Trojaner bringt ein für kriminelle Gruppen ungewöhnlich breites Set mit: Keylogging, Screenshot-Erfassung, Audio- und Webcam-Aufnahmen, Plugin-Downloads und System-Neustarts. Dazu führt er aktive Überprüfungen auf Microsoft Defender, einen Windows-Systemdienst und die OS-UUID durch — klassische Sandbox-Erkennungslogik, kein Zufallscode.
Im Proofpoint-Bericht fällt außerdem auf, dass Forscher Code-Patterns identifiziert haben, die auf LLM-generierte Bausteine hindeuten. Die Vermutung: TA4922 nutzt Sprachmodelle zur Malware-Entwicklung. Endgültig belegt ist das nicht — aber ich sehe es als ehrliches Warnsignal: Die Fähigkeiten hinter Atlas RAT wären vor zwei Jahren noch erheblich aufwändiger zu bauen gewesen. Wenn KI-Werkzeuge die Entwicklungszeit für solche Werkzeuge halbieren, folgt das nächste Toolkit schneller als bisher.
Flankiert wird Atlas RAT von weiteren Tools: RomulusLoader lädt zusätzliche Payloads per Process-Hollowing und nutzt dabei legitime Software wie AnyDesk. SilentRunLoader ist ein Python-basierter Info-Stealer, der Chrome-Anmeldedaten, Cookies und Browserdaten abzieht. Bekannt aus früheren Kampagnen ist außerdem Winos4.0, ein umfassendes Remote-Access-Toolkit der Gruppe.
Gehaltszettel als Köder — und Teams als neue Angriffsfläche
Die Phishing-Mails kommen lokalisiert auf Deutsch, Englisch und Italienisch und tarnen sich als Gehaltsabrechnungen, Steuermitteilungen oder Behörden-Compliance-Schreiben — genau die Dokumente, die kein Mitarbeiter ungeöffnet lässt. Zusätzlich versucht TA4922, Kontakt über WhatsApp, LINE und Microsoft Teams aufzubauen. Kanäle, die in vielen Firmen als intern und sicher gelten und deshalb weniger Aufmerksamkeit bekommen als der E-Mail-Eingang.
Wer glaubt, kleine Firmen seien kein attraktives Ziel, unterschätzt, was TA4922 verkauft: Netzwerkzugänge. Eine kompromittierte Kanzlei oder ein Maschinenbau-KMU ist für Weiterkäufer dieser Zugänge mindestens genauso wertvoll wie ein Konzern — manchmal wertvoller, weil die Sicherheitsstruktur dünner ist. Das Werkzeug-Set mit Webcam- und Audio-Aufzeichnung legt zudem nahe, dass die Daten nicht nur weiterverkauft, sondern direkt für Erpressung genutzt werden könnten. Proofpoint formuliert es knapp: Die Fähigkeiten hätten das Potenzial, von Spionagegruppen eingesetzt oder an sie verkauft zu werden.
