Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Atlas RAT to trojan zdalnego dostępu wykorzystywany w kampaniach przypisywanych grupie TA4922, która w 2026 roku rozszerzyła aktywność na cele w Europie. Zagrożenie to umożliwia nie tylko klasyczne przejęcie kontroli nad stacją roboczą, ale także szczegółowe rozpoznanie środowiska, kradzież danych oraz działania nadzorcze, takie jak keylogging, wykonywanie zrzutów ekranu czy rejestracja dźwięku i obrazu.
Analizowana kampania pokazuje, że współczesne operacje cyberprzestępcze coraz częściej łączą phishing, wieloetapowe łańcuchy infekcji, techniki unikania analizy oraz użycie legalnych narzędzi administracyjnych. Taki model utrudnia zarówno wykrycie incydentu, jak i szybką ocenę rzeczywistego celu ataku.
W skrócie
TA4922 to aktor określany jako finansowo zmotywowany, wcześniej kojarzony głównie z aktywnością w Azji Wschodniej. Najnowsze obserwacje wskazują jednak na rozszerzenie operacji między innymi na Niemcy, Włochy, Wielką Brytanię oraz Republikę Południowej Afryki.
- Głównym narzędziem w kampanii jest Atlas RAT.
- W łańcuchu ataku pojawiają się także RomulusLoader, SilentRunLoader oraz ValleyRAT/Winos4.0.
- Wiadomości phishingowe są lokalizowane językowo i tematycznie do kraju ofiary.
- Operatorzy wykorzystują legalne narzędzia zdalnego zarządzania, aby ukrywać działania w normalnym ruchu administracyjnym.
Kontekst / historia
Dotychczas aktywność TA4922 była najczęściej łączona z podmiotami z Azji Wschodniej. Od marca 2026 roku badacze zaczęli jednak obserwować wzrost intensywności kampanii oraz wyraźne rozszerzenie zasięgu geograficznego. Jednocześnie wzrosła różnorodność stosowanych przynęt i liczba równolegle prowadzonych operacji.
Część analityków wskazuje na pewne podobieństwa do aktywności opisywanej wcześniej pod nazwami Silver Fox oraz Void Arachne, jednak bieżący klaster pozostaje śledzony oddzielnie. Wynika to z charakteru działań bardziej zbliżonych do cyberprzestępczości nastawionej na zysk, sprzedaż dostępu oraz kradzież danych niż do klasycznych operacji wywiadowczych, choć funkcje używanego malware dają również możliwości obserwacyjne.
Analiza techniczna
Najczęstszym wektorem wejścia pozostaje phishing. Atakujący stosują wiadomości dopasowane do lokalnego języka i kontekstu biznesowego, podszywając się pod komunikację z obszaru HR, wynagrodzeń, podatków, faktur, zgodności regulacyjnej czy korespondencji urzędowej. W części przypadków wykorzystywane są również komunikatory oraz platformy współpracy.
Dostarczanie Atlas RAT odbywa się między innymi za pomocą archiwów ZIP lub obrazów IMG zawierających legalny plik wykonywalny i złośliwą bibliotekę DLL. Uruchomienie opiera się na DLL sideloadingu, co pozwala nadać infekcji bardziej wiarygodny charakter. Po starcie loader może kopiować siebie i plik wabik do katalogu tymczasowego użytkownika, a następnie uruchamiać się ponownie w celu zwiększenia skrytości.
Loader Atlas RAT wykonuje liczne kontrole antyanalityczne i antysandboxowe. Sprawdza artefakty środowisk wirtualnych, wybrane usługi, klucze rejestru oraz cechy systemu mogące sugerować środowisko laboratoryjne. Jeśli wykryje oznaki analizy, kończy działanie, co utrudnia badanie próbki i ogranicza skuteczność automatycznych systemów detekcyjnych.
Po przejściu tych kontroli malware ładuje shellcode do pamięci i przygotowuje kolejne etapy infekcji. Następnie pobierany jest właściwy moduł Atlas RAT z infrastruktury C2. Konfiguracja obejmuje między innymi adres serwera, port, identyfikatory kampanii oraz unikalny identyfikator ofiary. Po zestawieniu połączenia z serwerem kontrolnym dane systemowe są przesyłane w postaci zaszyfrowanej, a stacja robocza przechodzi w tryb oczekiwania na polecenia operatora.
Zakres funkcji Atlas RAT jest szeroki i obejmuje:
- rozpoznanie systemu i środowiska użytkownika,
- listowanie, pobieranie i wysyłanie plików,
- ładowanie dodatkowych modułów,
- keylogging i przechwytywanie schowka,
- wykonywanie zrzutów ekranu,
- rejestrację obrazu z kamery oraz dźwięku.
Istotną rolę odgrywa także RomulusLoader, który pobiera i uruchamia kolejne ładunki z użyciem technik takich jak process hollowing, wstrzykiwanie shellcode oraz bezpośrednie wykonanie kodu. W praktyce służył on między innymi do wdrażania legalnych narzędzi zdalnego zarządzania, takich jak AnyDesk czy SyncFuture, co dodatkowo utrudnia odróżnienie aktywności napastnika od działań administracyjnych.
W kampaniach obserwowano również SilentRunLoader napisany w Pythonie, pełniący funkcję loadera i stealer’a. Malware ten koncentrował się na wykradaniu z Google Chrome zapisanych poświadczeń, cookies oraz danych przeglądania, a następnie eksfiltrował je do infrastruktury operatora. Dodatkowo analitycy odnotowali użycie ValleyRAT/Winos4.0, czyli rodziny oferującej rozbudowane funkcje zdalnego dostępu.
Konsekwencje / ryzyko
Skutki udanego ataku mogą być poważne zarówno na poziomie technicznym, jak i biznesowym. Organizacja ryzykuje utratę poświadczeń, dokumentów finansowych, danych osobowych oraz informacji operacyjnych. Jeżeli napastnik wdroży legalne narzędzia RMM, może utrzymać dostęp do środowiska przez dłuższy czas i poruszać się lateralnie z wykorzystaniem kanałów wyglądających na autoryzowane.
Niepokojące jest również ryzyko wtórne. Chociaż TA4922 jest opisywana jako grupa nastawiona na zysk, funkcjonalność Atlas RAT pozwala prowadzić także działania o charakterze obserwacyjnym i wywiadowczym. Uzyskany dostęp może więc zostać wykorzystany do kradzieży danych, oszustw, sprzedaży dostępu innym podmiotom albo przygotowania dalszych etapów ataku.
Dla zespołów SOC i IR szczególnym wyzwaniem jest połączenie wieloetapowej infekcji, lokalizowanych przynęt phishingowych i wykorzystania legalnego oprogramowania. W takich warunkach sama detekcja sygnaturowa często okazuje się niewystarczająca.
Rekomendacje
Organizacje powinny zacząć od wzmocnienia zabezpieczeń poczty elektronicznej oraz innych kanałów komunikacji biznesowej. Szczególnej uwagi wymagają wiadomości dotyczące kadr, wynagrodzeń, podatków, faktur i zgodności regulacyjnej, zwłaszcza jeśli zawierają archiwa ZIP, pliki IMG albo odwołania do zewnętrznych usług hostingu.
Na poziomie endpointów warto wdrożyć reguły wykrywające DLL sideloading, nietypowe uruchomienia legalnych aplikacji z katalogów tymczasowych, tworzenie procesów potomnych przez aplikacje biurowe oraz użycie narzędzi RMM poza zatwierdzoną polityką bezpieczeństwa. Dodatkowo należy monitorować nietypowe próby dostępu do kamery, mikrofonu, schowka i aktywności użytkownika.
- ograniczyć możliwość uruchamiania niezatwierdzonych plików wykonywalnych i bibliotek DLL,
- stosować listy dozwolonych aplikacji i kontrolę integralności,
- monitorować ruch do nietypowych serwerów C2 oraz połączenia na niestandardowych portach,
- blokować lub ściśle nadzorować użycie narzędzi zdalnego dostępu,
- regularnie przeglądać artefakty pozostawiane w katalogach tymczasowych użytkowników,
- uzupełnić detekcję o analitykę behawioralną i korelację zdarzeń.
W przypadku podejrzenia kompromitacji konieczne jest szybkie odizolowanie hosta, zabezpieczenie pamięci operacyjnej i artefaktów dyskowych, przegląd danych zapisanych w przeglądarkach oraz rotacja haseł i tokenów sesyjnych. Szczególną uwagę należy zwrócić na możliwość przejęcia aktywnych sesji przez skradzione cookies.
Podsumowanie
Kampania TA4922 pokazuje, że granica między cyberprzestępczością a operacjami o potencjale szpiegowskim staje się coraz mniej wyraźna. Atlas RAT wyróżnia się dojrzałym łańcuchem infekcji, mechanizmami unikania analizy oraz szerokim zestawem funkcji zdalnego dostępu i nadzoru.
W połączeniu z RomulusLoader, SilentRunLoader i legalnymi narzędziami RMM powstaje elastyczny zestaw ofensywny, który może być skuteczny wobec organizacji o różnym poziomie dojrzałości bezpieczeństwa. Dla obrońców kluczowe pozostają trzy wnioski: phishing nadal jest skutecznym punktem wejścia, legalne narzędzia administracyjne mogą maskować działania napastnika, a skuteczna obrona wymaga połączenia ochrony poczty, kontroli aplikacji, telemetrii EDR i aktywnego threat huntingu.
Źródła
- BleepingComputer – Chinese hackers use new Atlas RAT malware in European cyberattacks – https://www.bleepingcomputer.com/news/security/chinese-hackers-use-new-atlas-rat-malware-in-european-cyberattacks/
- Proofpoint – TA4922: The Suspected Chinese Crime Group is Going Global – https://www.proofpoint.com/us/blog/threat-insight/ta4922-suspected-chinese-crime-group-going-global