Europeiska företag har ett nytt problem: en arsenal av kinesisktalande skadlig programvara
Europeiska företag har levt i åratal med en verklighet som är svår att ignorera: många digitala hot föds inte här, men de kan också hamna i att nå sina system, sina e-postmeddelanden och sina interna dokument. Ibland gör de det högt, andra gånger med förtäckta meddelanden. I det här fallet är det vi har sett just det hoppet.
Proofpoint hävdar att en kinesisktalande cyberkriminell aktör initialt observerade främst riktade mot asiatiska organisationer har utökat sina kampanjer till Storbritannien, Tyskland och Italien med en allt bredare uppsättning verktyg.
Identifiera problemet. Proofpoint identifierar skådespelaren som TA4922 och länkar honom till det kinesisktalande cyberkriminella ekosystemet baserat på flera ledtrådar: metadata på kinesiska inom skadlig programvara, frekvent användning av infrastruktur associerad med kinesiska leverantörer och överlappningar med kampanjer som Silver Fox eller Void Arachne. Trots det skiljer företaget denna grupp från dessa märken och analyserar den som sitt eget hot, förmodligen motiverat av pengar.
Europa kommer in på kartan. Specialister började observera kampanjer förknippade med TA4922 våren 2025, men förändringen i skala kom senare. Gruppens aktivitet ökade markant i mars 2026 och höll ett högt tempo i april, med oöverträffad operativ mångfald i sina uppgifter om denna aktör.
Under denna period dök det upp kampanjer riktade mot organisationer i Storbritannien, Tyskland och Italien, samt Sydafrika, redan inom en mer global expansion, ett tecken på att gruppen inte längre är begränsad till sina vanligaste mål i Asien.
Kroken är i vardagen. Gatewayen är inte alltid en spektakulär sårbarhet, utan snarare ett budskap väl anpassat till mottagarens kontext. Proofpoint beskriver lokaliserade honeypots som imiterar personalkommunikation, lönemeddelanden, skatterevisioner, momsdeklarationer, fakturor eller regelefterlevnadskrav.
I vissa fall finns inte försöket kvar i e-postmeddelandet: skådespelaren försöker också flytta konversationen till WhatsApp, LINE eller Microsoft Teams, kanaler där han kan förlänga social ingenjörskonst bort från den vanliga synligheten för företags-e-post.
Verktygslådan växer. Proofpoint noterar att TA4922 har utökat sin arsenal avsevärt under de senaste månaderna, något som stämmer överens med den ökning av aktivitet som sågs i mars och april 2026. Rapporten nämner flera delar: Atlas RAT, en fjärråtkomstbakdörr som nyligen identifierats av forskare; RomulusLoader, en loader designad för att ladda ner och exekvera nya laddningar; SilentRunLoader, som syftar till att stjäla data från Chrome, och ValleyRAT/Winos4.0, en redan dokumenterad familj.
Atlas RAT. Denna skadliga programvara kan samla in systeminformation, lista och ladda upp filer till kommando- och kontrollservern, ladda ytterligare plugins eller moduler och exekvera nya nyttolaster. Den innehåller också övervakningsfunktioner, såsom keylogger, skärmdumpar, åtkomst till urklipp och ljud- eller videoinspelning via mikrofon och webbkamera.
Proofpoint upprätthåller nyansen: den utvärderar skådespelaren som ekonomiskt motiverad, men varnar för att dessa förmågor kan användas eller säljas till spionagegrupper. På Xataka Att göra narr av bedragaren som skickar ett SMS till dig verkar ofarligt: det är en mycket dålig idé Legitima verktyg, skadlig användning. En del av problemet är att TA4922 inte enbart förlitar sig på igenkännbar skadlig programvara.
Proofpoint beskriver användningen av RomulusLoader för att installera programvara för fjärradministration som AnyDesk och SyncFuture, verktyg som kan ha legitim användning inom en organisation, men i detta sammanhang tjänar till att utöka kontrollen över den påverkade miljön. SilentRunLoader kompletterar bilden från en annan vinkel: den söker efter känslig Chrome-data, inklusive inloggningsuppgifter, cookies och historik. Dessutom tror Proofpoint med stor tillförsikt att gruppen sannolikt kommer att använda LLM för att påskynda utvecklingen av ny Python-baserad skadlig programvara.
Varningen för Europa. Proofpoint beskriver en aktör som kan flytta snabbt, skräddarsy meddelanden till landet och kombinera skadliga nyttolaster med legitima tjänster, molnvärd och fjärradministrationsverktyg. Det tvingar dig att se bortom det uppenbara misstänkta mejlet.
Företagets rekommendationer går ut på följande sätt: kontrollera vad som exekveras och varifrån, övervaka onormala anslutningar, minska lokala privilegier och begränsa den tillåtna programvaran. Hotet framställs inte som bekräftat spionage, utan som en mycket reell affärsrisk. Bilder | DC Studio i Xataka | Apple har redan sålt så många iPhones till vuxna att det nu går efter barn.
Övertyga dina föräldrar först, naturligtvis
Originalkälla
Publicerad av Xataka
10 june 2026, 08:30
Denna artikel har översatts automatiskt från spanska. Klicka på länken ovan för att läsa originaltexten.
Visa originaltext (spanska)
Rubrik
Las empresas europeas tienen un nuevo problema: un arsenal de malware que habla chino
Beskrivning
Las empresas europeas llevan años conviviendo con una realidad difícil de ignorar: muchas amenazas digitales no nacen aquí, pero pueden terminar llegando igualmente a sus sistemas, sus correos y sus documentos internos. A veces lo hacen de forma ruidosa, otras con mensajes disfrazados. En este caso, lo que hemos visto es precisamente ese salto. Proofpoint afirma que un actor cibercriminal de habla china observado inicialmente sobre todo contra organizaciones asiáticas, ha extendido sus campañas a Reino Unido, Alemania e Italia con un conjunto de herramientas cada vez más amplio. Identificando el problema. Proofpoint identifica al actor como TA4922 y lo vincula al ecosistema cibercriminal de habla china por varios indicios: metadatos en chino dentro de muestras de malware, uso frecuente de infraestructura asociada a proveedores chinos y solapamientos con campañas como Silver Fox o Void Arachne. Aun así, la compañía separa este grupo de esas etiquetas y lo analiza como una amenaza propia, probablemente motivada por dinero. Europa entra en el mapa. Los especialistas empezaron a observar campañas asociadas a TA4922 en primavera de 2025, pero el cambio de escala llegó después. La actividad del grupo aumentó de forma notable en marzo de 2026 y mantuvo un ritmo alto en abril, con una diversidad operativa inédita en sus datos sobre este actor. En ese periodo aparecen campañas dirigidas a organizaciones de Reino Unido, Alemania e Italia, además de Sudáfrica, ya dentro de una expansión más global, una señal de que el grupo ya no se limita a sus objetivos más habituales en Asia. {"videoId":"x801azu","autoplay":false,"title":"Cómo PROTEGER tu ANDROID de VIRUS y MALWARE: Trucos y consejos", "tag":"", "duration":"271"} El gancho está en lo cotidiano. La puerta de entrada no siempre es una vulnerabilidad espectacular, sino un mensaje bien adaptado al contexto de quien lo recibe. Proofpoint describe señuelos localizados que imitan comunicaciones de recursos humanos, avisos de nóminas, auditorías fiscales, declaraciones de IVA, facturas o requisitos de cumplimiento normativo. En algunos casos, el intento no se queda en el correo: el actor también trata de mover la conversación a WhatsApp, LINE o Microsoft Teams, canales donde puede prolongar la ingeniería social lejos de la visibilidad habitual del correo corporativo. La caja de herramientas crece. Proofpoint señala que TA4922 ha ampliado de forma notable su arsenal en los últimos meses, algo que encaja con el aumento de actividad observado en marzo y abril de 2026. El informe menciona varias piezas: Atlas RAT, una puerta trasera de acceso remoto identificada recientemente por los investigadores; RomulusLoader, un cargador pensado para descargar y ejecutar nuevas cargas; SilentRunLoader, orientado al robo de datos de Chrome, y ValleyRAT/Winos4.0, una familia ya documentada. Atlas RAT. Este malware puede recopilar información del sistema, listar y subir archivos al servidor de mando y control, cargar plugins o módulos adicionales y ejecutar nuevas cargas. También incorpora funciones de vigilancia, como keylogger, capturas de pantalla, acceso al portapapeles y grabación de audio o vídeo mediante micrófono y cámara web. Proofpoint mantiene el matiz: evalúa al actor como financieramente motivado, pero advierte de que estas capacidades podrían usarse o venderse a grupos de espionaje. En Xataka Burlarte del estafador que te manda un SMS parece inofensivo: es una muy mala idea Herramientas legítimas, uso malicioso. Una parte del problema está en que TA4922 no se apoya únicamente en malware reconocible. Proofpoint describe el uso de RomulusLoader para instalar software de administración remota como AnyDesk y SyncFuture, herramientas que pueden tener usos legítimos dentro de una organización, pero que en este contexto sirven para ampliar el control sobre el entorno afectado. SilentRunLoader completa la fotografía desde otro ángulo: busca datos sensibles de Chrome, incluidas credenciales, cookies e historial. Además, Proofpoint cree con alta confianza que el grupo probablemente está usando LLM para acelerar el desarrollo de nuevo malware basado en Python. El aviso para Europa. Proofpoint describe a un actor capaz de moverse rápido, adaptar los mensajes al país y combinar cargas maliciosas con servicios legítimos, alojamiento en la nube y herramientas de administración remota. Eso obliga a mirar más allá del correo sospechoso evidente. Las recomendaciones de la compañía van en esa línea: controlar qué se ejecuta y desde dónde, vigilar conexiones anómalas, reducir privilegios locales y limitar el software permitido. La amenaza no se presenta como espionaje confirmado, pero sí como un riesgo empresarial muy real. Imágenes | DC Studio En Xataka | Apple ya ha vendido tantos iPhone a adultos que ahora va a por los niños. Convenciendo primero a sus padres, claro (function() { window._JS_MODULES = window._JS_MODULES || {}; var headElement = document.getElementsByTagName('head')[0]; if (_JS_MODULES.instagram) { var instagramScript = document.createElement('script'); instagramScript.src = 'https://platform.instagram.com/en_US/embeds.js'; instagramScript.async = true; instagramScript.defer = true; headElement.appendChild(instagramScript); } })(); - La noticia Las empresas europeas tienen un nuevo problema: un arsenal de malware que habla chino fue publicada originalmente en Xataka por Javier Marquez .
