Weltweit aktiv

Chinesische Hacker-Gruppe TA4922 steigert Angriffstempo auf Deutschland

Botnet, Quad7, China
LinkedInRedditWhatsApp

Die chinesischsprachige Hacker-Gruppe TA4922 weitet ihre Angriffe massiv auf Europa aus und nutzt dafür KI-generierte Phishing-Kampagnen.

Das IT-Sicherheitsunternehmen Proofpoint hat einen umfassenden Bericht über eine chinesischsprachige Cyberkriminalitätsgruppe veröffentlicht, die unter der Kennung TA4922 erfasst wird. Die Gruppierung hat ihre Aktivitäten in den vergangenen Monaten signifikant intensiviert und bricht in immer neue geografische Regionen auf. Während der Fokus der Angriffe historisch vor allem auf ostasiatischen Ländern wie Japan, Taiwan, Südkorea, Singapur und Indien lag, wurden jüngst auch vermehrt europäische Ziele ins Visier genommen. Betroffen sind Organisationen in Großbritannien, Italien und Deutschland sowie Einrichtungen in Südafrika.

Anzeige

Im Gegensatz zu anderen bekannten chinesischen Akteuren wie Silver Fox oder Void Arachne, mit denen TA4922 erhebliche Überschneidungen bei der genutzten Infrastruktur und den Werkzeugen teilt, liegt der Schwerpunkt hier nicht auf staatlicher Spionage, sondern auf finanziell motivierten Straftaten. Das primäre Ziel der Gruppe besteht darin, sich dauerhaften Fernzugriff auf Unternehmensnetzwerke zu verschaffen, um Daten zu stehlen, Zugänge weiterzuverkaufen oder Kreditkartenbetrug zu begehen. Die Kampagnen, die TA4922 zugeschrieben werden, stimmen trotz der fortgeschrittenen Handwerkskunst des Akteurs eher mit cyberkriminellen Zielen überein“, heißt es vonseiten Proofpoint.

Wechsel auf Messenger-Dienste zur Umgehung von Sicherheitssoftware

Die Angreifer setzen bei ihren Kampagnen stark auf Methoden des Social Engineering. Sie versenden personalisierte E-Mails, deren Inhalte präzise auf bestimmte Abteilungen oder länderspezifische Gegebenheiten angepasst sind. Häufige Themen der gefälschten Nachrichten betreffen Mitteilungen der Personalabteilung, Steuerprüfungen, Gehaltsabrechnungen oder vermeintliche Rechnungen von Dienstleistern. Die Opfer werden dazu verleitet, auf schädliche Links zu klicken, um infizierte Dateien von bekannten File-Sharing-Plattformen herunterzuladen, oder unbewusst ihre Zugangsdaten auf Phishing-Seiten einzugeben.

Ein markantes Merkmal im Vorgehen von TA4922 ist der bewusste Versuch, die Kommunikation mit den Opfern schnellstmöglich von der klassischen E-Mail auf externe Kommunikationskanäle zu verlagern. Hierzu fordern die Täter die Zielpersonen beispielsweise dazu auf, Mobiltelefonnummern bereitzustellen oder neue Chatgruppen zu eröffnen. Genutzt werden populäre Messaging-Plattformen wie LINE, WhatsApp oder Microsoft Teams. Die Sicherheitsanalysten erklären den strategischen Hintergrund dieser Taktik: „Sobald die Kommunikation auf diese Plattformen verlagert wird, ist der Akteur besser positioniert, um das Social Engineering auszuweiten, Kontaktinformationen zu sammeln oder Malware außerhalb der Sichtbarkeit herkömmlicher E-Mail-Sicherheit bereitzustellen.“

Anzeige

KI-gestützte Entwicklung von Schadsoftware bei Hacker-Gruppe

Die Gruppe zeichnet sich durch eine außergewöhnlich hohe Frequenz bei der Durchführung unterschiedlicher Kampagnen aus. Laut den Bedrohungsdaten der Analysten ist TA4922 derzeit aktiver als jeder andere beobachtete kriminelle Akteur in diesem Segment. Experten gehen mit hoher Wahrscheinlichkeit davon aus, dass die Gruppe hochentwickelte Sprachmodelle (LLMs) einsetzt, um neue, Python-basierte Schadsoftware in extrem kurzer Zeit zu generieren. Ein Indiz hierfür sind unter anderem im Code vergessene Platzhalter-Schlüssel.

Das Arsenal der Gruppe umfasst eine Vielzahl von Schadprogrammen und Loadern. Im März 2026 wurden Systeme in Japan mit der Schadsoftware RomulusLoader und dem Trojaner Atlas RAT angegriffen. Bei Letzterem handelt es sich um eine voll funktionsfähige Backdoor, die über das Nachladen von Plugins weitreichende Überwachungsfunktionen wie das Aufzeichnen von Audio und Video, Keylogging sowie das Erstellen von Screenshots ermöglicht. Im April wurden ähnliche Angriffe gegen Ziele in Deutschland und Großbritannien dokumentiert.

Zur Festigung des Zugriffs nutzt die Gruppe RomulusLoader auch zum Einschleusen legitimer Fernwartungswerkzeuge wie AnyDesk oder SyncFuture. Zudem setzt die Bande den Python-basierten Diebstahl-Code SilentRunLoader ein, um spezifisch Zugangsdaten, Cookies und Browserverläufe aus Google Chrome zu extrahieren. Auch die Backdoor ValleyRAT, auch bekannt als Winos 4.0, kommt regelmäßig zum Einsatz.

„TA4922 führt derzeit mehr einzigartige Kampagnen durch als jeder andere verfolgte cyberkriminelle Bedrohungsakteur in den Bedrohungsdaten von Proofpoint, was ein hohes operatives Tempo, eine Vielzahl von Ködern und mehrere Ziele demonstriert. Während der Akteur als finanziell motiviert eingeschätzt wird, beinhalten die Fähigkeiten der Schadsoftware das Potenzial für Überwachung, die von Spionagegruppen genutzt oder an diese verkauft werden könnte.“

Proofpoint


Autorenbild Lisa Löw

Lisa

Löw

Junior Online-Redakteurin

IT-Verlag

Anzeige
Botnet, Quad7, China
6. Juni 2026
Chinesische Hacker-Gruppe TA4922 steigert Angriffstempo auf Deutschland
Marketing, Neukundengewinnung, Wie wichtig ist der Unternehmensauftritt für die Neukundengewinnung, Online-Marketing, Unternehmensauftritt, Kunden
6. Juni 2026
Wie wichtig ist der Unternehmensauftritt für die Neukundengewinnung?
SpaceX
6. Juni 2026
Google mietet für viel Geld Rechenleistung bei SpaceX
Universitätsmedizin Mainz
6. Juni 2026
Datenleck: Universitätsmedizin Mainz informiert per Brief

Weitere Artikel

Neue Browser-Methode FROST spioniert geöffnete Tabs und Apps aus
Gartner sieht Angreifer bei vier Bedrohungen klar im Vorteil
Angreifer warten nicht damit, Schwachstellen auszunutzen
Sicherheitsrisiko Heretic: KI-Schutzwälle in Minuten ausgehebelt
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.