Il cybercrime cinese che opera in Europa
Il gruppo cybercriminale cinese TA4922 espande le sue mire in Europa e Italia. Il panorama delle minacce informatiche globali registra un importante cambiamento di rotta. Un gruppo cybercriminale di lingua cinese, storicamente attivo quasi esclusivamente sul mercato asiatico, sta ampliando rapidamente il proprio raggio d'azione verso l'Europa e l'Africa.
Secondo i dati pubblicati da Proofpoint, il gruppo denominato TA4922 ha intensificato notevolmente le proprie operazioni nel corso del 2026. Le nuove offensive stanno prendendo di mira organizzazioni nel Regno Unito, in Germania, in Italia e in Sudafrica, affiancandosi alle campagne già consolidate in Giappone, Corea del Sud, Taiwan e Singapore.
Un attore ibrido tra profitto e spionaggio
Gli analisti descrivono TA4922 come un attore insolito nel panorama del crimine informatico. Sebbene sia classificato come un gruppo a motivazione principalmente economica, le sue modalità operative presentano una complessità e una varietà tipiche dei gruppi di cyber spionaggio statale.
L'obiettivo principale del gruppo consiste nell'ottenere un accesso persistente alle reti aziendali compromesse. Questo posizionamento a lungo termine viene poi sfruttato per:
- Furto di dati sensibili - Frodi finanziarie strutturate - Rivendita degli accessi abusivi a terzi - Monetizzazione diretta delle intrusioni Phishing mirato e l'uso di email temporanee
La principale forza d'impatto di TA4922 risiede nella sua elevata capacità di social engineering personalizzato. Le campagne di phishing non sono massive, ma vengono adattate con precisione al contesto locale del target:
- Lingua e contesto: Le email sono scritte correttamente nelle lingue dei Paesi bersaglio, riducendo i fattori di sospetto. - Identità contraffatte: Gli attaccanti si spacciano frequentemente per uffici Risorse Umane (HR), reparti amministrativi, autorità fiscali, fornitori o colleghi di lavoro. - Pretesti comuni: I messaggi vertono su scadenze urgenti come fatture, pagamenti, verifiche fiscali, buste paga e benefit aziendali, spingendo la vittima ad agire impulsivamente.
Per superare i filtri di sicurezza e i controlli di reputazione dei server di posta, il gruppo utilizza migliaia di indirizzi email temporanei generati su servizi legittimi e diffusi, tra cui Outlook, Hotmail e Gmail.
Lo spostamento della chat su Teams e WhatsApp
Una delle tattiche più caratteristiche e pericolose di TA4922 è il tentativo sistematico di spostare la conversazione al di fuori della posta elettronica tradizionale.
Una volta stabilito il primo contatto via email, gli attaccanti direzionano la vittima verso piattaforme di messaggistica come Microsoft Teams, WhatsApp o, nel contesto asiatico, LINE. Questa manovra permette di uscire dal perimetro di monitoraggio dei software di sicurezza aziendali applicati alle caselle e-mail. All'interno di questi canali meno presidiati, i criminali procedono con maggiore libertà all'invio di file malevoli o alla richiesta di credenziali d'accesso.
Un arsenale software in costante aggiornamento
Parallelamente all'espansione geografica, TA4922 ha aggiornato in modo significativo i propri strumenti informatici. Se in passato il software malevolo di riferimento era principalmente ValleyRAT (noto anche come Winos 4.0), l'analisi dei recenti attacchi in Europa ha evidenziato l'introduzione di nuovi payload:
- Atlas RAT: Un trojan di accesso remoto avanzato in grado di controllare il sistema, raccogliere informazioni e trasferire file dai sistemi compromessi. - RomulusLoader: Un modulo di avvio (downloader/stager) che utilizza tecniche di occultamento avanzate, come il process hollowing e l'iniezione di codice, per eludere i software antivirus. - SilentRunLoader: Uno strumento sviluppato in Python con l'obiettivo specifico di sottrarre credenziali, cookie di sessione e cronologia di navigazione direttamente dal browser Google Chrome. DLL Sideloading e software legittimi
Per ridurre al minimo le probabilità di intercettazione da parte dei sistemi di difesa (EDR e antivirus), il gruppo adotta una strategia combinata che unisce codice nocivo e programmi autorizzati.
Viene fatto un ampio uso della tecnica del DLL sideloading, che permette di eseguire codice malevolo sfruttando l'avvio di applicazioni legittime e considerate sicure dal sistema operativo. Inoltre, una volta ottenuto l'accesso, gli attaccanti installano spesso software di amministrazione remota del tutto legali, come AnyDesk e SyncFuture, mimetizzando l'attività di controllo della rete all'interno del normale traffico di assistenza tecnica dell'azienda.
Nonostante TA4922 rimanga focalizzato sul ritorno economico, le capacità tecniche dimostrate sollevano preoccupazioni. Gli strumenti impiegati (funzioni di cattura schermate, registrazione delle attività e persistenza avanzata) possiedono un potenziale che va oltre la frode finanziaria. Tali accessi e informazioni potrebbero essere facilmente venduti o riutilizzati in contesti di sorveglianza e intelligence, rendendo il monitoraggio di questo gruppo prioritario per le infrastrutture aziendali europee.
“Questo articolo ha beneficiato dell’assistenza di Gemini, un modello linguistico AI”


















