China-Linked TA4922 Expands Phishing Attacks to U.K., Germany, Italy, and South Africa

1 minute de lecture

Mis à jour : June 04, 2026

Expansion mondiale du groupe cybercriminel TA4922

Le groupe cybercriminel chinois TA4922, lié au groupe Silver Fox, intensifie ses activités et étend sa zone d’influence au-delà de l’Asie de l’Est pour cibler désormais des organisations au Royaume-Uni, en Allemagne, en Italie et en Afrique du Sud. Motivé par le gain financier, ce groupe utilise des tactiques sophistiquées pour voler des données, commettre des fraudes ou revendre des accès distants.

Points clés :

Mode opératoire : Utilisation intensive de campagnes de phishing basées sur des thématiques professionnelles (RH, fiscalité, factures, conformité).
Technique de contournement : Transfert volontaire des communications vers des canaux hors bande (LINE, WhatsApp, Microsoft Teams) pour échapper aux outils de sécurité d’entreprise.
Arsenal logiciel : Utilisation de familles de malwares connues (ValleyRAT, Atlas RAT) et de nouveaux outils propriétaires (RomulusLoader, SilentRunLoader).
Vecteur d’infection : Exploitation récurrente du DLL side-loading pour exécuter des charges malveillantes.

Vulnérabilités : Bien qu’aucune CVE spécifique ne soit mentionnée, les attaques reposent sur l’exploitation humaine (ingénierie sociale) et sur le détournement de processus légitimes via le DLL side-loading, permettant de charger des bibliothèques malveillantes par des applications de confiance.

Recommandations :

Sensibilisation : Former les employés à la méfiance face aux sollicitations professionnelles inattendues, particulièrement celles encourageant une migration vers des messageries privées (WhatsApp, LINE).
Surveillance réseau : Bloquer ou surveiller étroitement le trafic vers les plateformes de messagerie personnelles dans un contexte professionnel.
Contrôle des applications : Restreindre les privilèges d’exécution et mettre en œuvre des politiques d’intégrité pour prévenir le DLL side-loading.
Sécurisation des endpoints : Déployer des solutions EDR capables de détecter des comportements anormaux, comme l’exfiltration de cookies ou de données de navigateurs par des processus non autorisés (notamment via SilentRunLoader).

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

China-Linked TA4922 Expands Phishing Attacks to U.K., Germany, Italy, and South Africa

Expansion mondiale du groupe cybercriminel TA4922

Partager sur

Vous pourriez aimer

WhatsApp, Slack Notifications Could Hijack Google Gemini on Android

Exploitation par injection de prompt via les notifications Android sur Google Gemini

U.S. sanctions Nobitex crypto exchange used by Iranian ransomware actors

Sanctions américaines contre les plateformes crypto iraniennes impliquées dans le ransomware

UN food agency discloses breach affecting 600,000 Gaza households

Cyberattaque contre le Programme Alimentaire Mondial à Gaza

ThreatsDay Bulletin: AI Agents Gone Wrong, Sketchy C2 Tools, ClickFix Tricks, JS Backdoors & 20+ New Stories

État des menaces : prolifération des tactiques d’ingénierie sociale et automatisation des attaques