Chinese hackers use new Atlas RAT malware in European cyberattacks

1 minute de lecture

Mis à jour : June 04, 2026

Expansion du groupe cybercriminel TA4922 et émergence du malware Atlas RAT

Le groupe cybercriminel sinophone TA4922, initialement actif en Asie de l’Est, a intensifié ses opérations à un rythme inédit, ciblant désormais des entreprises en Europe (Allemagne, Italie, Royaume-Uni) et en Afrique du Sud. Motivé par le gain financier, ce groupe fait preuve d’une grande polyvalence opérationnelle, utilisant potentiellement l’intelligence artificielle pour accélérer le développement de ses outils malveillants.

Points clés :

Vecteurs d’attaque : Campagnes de phishing hautement localisées (avis de paie, audits fiscaux, factures) et prises de contact via des messageries (WhatsApp, LINE, MS Teams).
Arsenal malveillant : Déploiement du nouveau cheval de Troie d’accès à distance (RAT) « Atlas », du chargeur « RomulusLoader », du voleur d’informations « SilentRunLoader » et de « ValleyRAT » (Winos4.0).
Utilisation d’IA : Présence de patterns et commentaires de code suggérant le recours à des modèles de langage (LLM) pour générer des malwares.
Capacités techniques : Les malwares permettent l’exfiltration de données, le vol d’identifiants (Chrome), la capture d’écran, l’enregistrement audio/webcam, et l’utilisation d’outils d’administration légitimes (AnyDesk).

Vulnérabilités :

L’article ne mentionne pas de CVE spécifique, car les attaques reposent sur l’ingénierie sociale et l’exécution de charges utiles personnalisées (process hollowing, injection de shellcode) plutôt que sur l’exploitation directe de vulnérabilités logicielles connues.
Le malware Atlas inclut des mécanismes d’évasion sophistiqués ciblant spécifiquement Microsoft Defender Application Guard et diverses clés de registre système.

Recommandations :

Renforcer la vigilance phishing : Former les employés à la détection de documents administratifs falsifiés, particulièrement ceux liés aux paies ou à la conformité fiscale.
Surveillance EDR/SIEM : Détecter les processus suspects (comme le process hollowing) et les connexions initiées par des outils de gestion à distance (AnyDesk, SyncFuture) qui ne sont pas explicitement autorisés.
Protection des endpoints : Configurer les solutions de sécurité pour détecter les comportements d’enregistrement audio/vidéo non sollicités et surveiller les tentatives de lecture de cookies/identifiants dans les navigateurs.
Analyse des indicateurs (IoC) : Utiliser les rapports de Threat Intelligence (notamment ceux publiés par Proofpoint) pour mettre à jour les listes de blocage des serveurs de commande et contrôle (C2) associés à TA4922.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Chinese hackers use new Atlas RAT malware in European cyberattacks

Expansion du groupe cybercriminel TA4922 et émergence du malware Atlas RAT

Partager sur

Vous pourriez aimer

WhatsApp, Slack Notifications Could Hijack Google Gemini on Android

Exploitation par injection de prompt via les notifications Android sur Google Gemini

U.S. sanctions Nobitex crypto exchange used by Iranian ransomware actors

Sanctions américaines contre les plateformes crypto iraniennes impliquées dans le ransomware

UN food agency discloses breach affecting 600,000 Gaza households

Cyberattaque contre le Programme Alimentaire Mondial à Gaza

ThreatsDay Bulletin: AI Agents Gone Wrong, Sketchy C2 Tools, ClickFix Tricks, JS Backdoors & 20+ New Stories

État des menaces : prolifération des tactiques d’ingénierie sociale et automatisation des attaques