Le aziende europee hanno da tempo una realtà con cui convivere: molte minacce digitali non nascono in Europa ma possono facilmente propagarsi ai loro sistemi, alla posta elettronica e ai loro documenti interni. Alcune di queste minacce fanno chiasso, altre si camuffano nei messaggi ordinari. Proofpoint ha rilevato che un gruppo criminoso di origine cinese, inizialmente focalizzato su obiettivi asiatici, ha ampliato le proprie campagne a organizzazioni del Regno Unito, Germania e Italia, usando strumenti di malware sempre più raffinati.

Identificando il problema

Proofpoint ha identificato il gruppo come TA4922 e lo ha collegato all’ecosistema cibercriminale cinese in base a diversi indizi: file di malware contenenti metadati in cinese, una frequente utilizzazione di infrastrutture legate a fornitori cinesi e sovrapposizioni con campagne simili come Silver Fox o Void Arachne. Tuttavia, la compagnia lo analizza come una minaccia a sé stante, probabilmente motivata da guadagni economici.

Europa entra nel radar

Gli esperti hanno osservato la presenza di campaigne di TA4922 all’inizio della primavera del 2025, ma il cambiamento dimensionale delle azioni è avvenuto dopo. L’attività del gruppo ha subito un aumento notevole nel marzo del 2026 e ha mantenuto un livello molto alto di operatività durante l’aprile successivo. In questo periodo si sono verificate campagne in organizzazioni in Regno Unito, Germania e Italia, oltre che in Sudafrica, in linea con una tendenza globale a espandere gli obiettivi al di fuori dell’Asia.

Il trucco sta nell’ordinario

Il punto di ingresso non è sempre una vulnerabilità drammatica, ma spesso un messaggio perfettamente inquadrato nel contesto del destinatario. Prooftpoint descrive messaggi truccati, adatti all'ambiente ricevente, che imitano comunicazioni di risorse umane, avvisi di stipendio, verifiche fiscali, comunicazioni IVA, fatture o richieste di conformità. In alcuni casi, la trappola non si ferma all’e-mail: il gruppo cerca di spostare l’interazione su canali come WhatsApp, LINE o Microsoft Teams, dove può proseguire con manipolazioni sociali lontano dall’occhio vigile tipico della posta aziendale.

La cassetta degli attrezzi cresce

TA4922 ha notevolmente ampliato il proprio arsenale di malware negli ultimi mesi, e questa espansione si accompagna alla crescita osservata nelle operazioni nell’aprile e marzo di quest’anno. Il rapporto menziona varie strumentazioni: Atlas RAT, una backdoor per accessi remoti; RomulusLoader, un loader per scaricare e lanciare nuove attività; SilentRunLoader, per rubare dati sensibili da Chrome, e ValleyRAT/Winos4.0, una famiglia nota.

Atlas RAT

Questo malware è in grado di raccogliere informazioni sull’ambiente informatico, elencare e caricare file verso un server di comando e controllo, caricare nuovi moduli o plug-in e lanciare nuove sequenze di comando. Inoltre, presenta funzionalità di sorveglianza, come un registratore di schermata, un registratore del portacarte e la capacità di riprendere immagini o video tramite microfono e webcam. Proofpoint sottolinea che TA4922 sembra finanziariamente motivato, ma mette in guardia sul fatto che queste capacità potrebbero essere sfruttate o vendute a gruppi con interessi di spionaggio.

Utilizzo di strumenti legittimi per scopi malvagi

Parte del problema deriva dal fatto che TA4922 si basa non solo su malware riconoscibili. Il rapporto spiega l’utilizzo di RomulusLoader per installare software di amministrazione remota come AnyDesk e SyncFuture, strumenti che potrebbero tranquillamente avere un uso legittimo nel contesto di un'azienda, ma che qui servono ad espandere il controllo sull’ambiente compromesso. SilentRunLoader integra la prospettiva da una prospettiva diversa: si attiva su Chrome per rubare credenziali, cookies e cronologia. Inoltre, si crede con una grande confidenta che il gruppo sta utilizzando modelli di linguaggio per velocizzare lo sviluppo di nuovi strumenti pericolosi basati su Python.

L’avviso per l’Europa

Proofpoint descrive TA4922 come un soggetto rapido, attento alla personalizzazione del messaggio in base al paese, e capace di integrare malware con servizi legali, hosting cloud e mezzi di controllo a distanza. La complessità e le tecniche sofisticate richiedono una vigilanza avanzata. Le raccomandazioni di Prooftpoint suggeriscono di controllare da dove e che cosa è eseguito, di monitorare connessioni insolite, di limitare privilegi locali e di controllare i software permessi. Anche se l’agente non è confermato per spionaggio, il rischio per il mondo dell’impresa è reale e concreto.