En kinesiskt kopplad hackargrupp som spåras som TA4922 har utökat sina attacker från Östasien till Europa och Sydafrika. Enligt säkerhetsföretaget Proofpoint riktar gruppen nu sina kampanjer mot organisationer i Storbritannien, Tyskland, Italien och Sydafrika med riktad phishing och ett växande verktygsskåp av skadliga program.

Hur attackerna går till

TA4922 använder välutformade phishing-mail som efterliknar legitima myndighets- och affärskommunikationer. I kampanjer mot brittiska organisationer har gruppen bland annat utgivit sig för skattemyndigheter med hänvisningar till momsdeklarationer, löneskatt och regelefterlevnad. Andra kampanjer har kopierat språket från förmåns- och compliance-tjänster.

Det som skiljer dessa attacker från vanlig spam är att innehållet är anpassat till lokala affärsprocesser som anställda redan känner igen. Det gör dem svårare att genomskåda.

SilentRunLoader och övriga verktyg

Gruppen har expanderat sin arsenal med ett nytt skadligt program kallat SilentRunLoader. Utöver det använder TA4922 verktyg för:

• Stöld av inloggningsuppgifter
• Bedrägeriförsök
• Fjärråtkomst via skadlig kod
• Legitima verktyg för fjärrstyrning för att behålla åtkomst i nätverk utan att väcka misstanke

Användningen av legitima fjärrstyrningsprogram är ett klassiskt sätt att undvika säkerhetsverktyg som letar efter känd skadlig kod.

Vad företag bör göra

TA4922:s kampanjer är ett tydligt exempel på hur statsanknutna grupper börjar likna vanliga cyberkriminella i sina metoder, men med mer resurser och tålamod. För svenska företag med affärsrelationer i UK eller Europa finns en verklig risk.

• Träna medarbetare att känna igen phishing även när avsändaren ser trovärdig ut.
• Granska och begränsa vilka fjärrstyrningsprogram som är tillåtna i nätverket.
• Aktivera loggning och övervakning av nätverkstrafik för att upptäcka ovanlig kommunikation.
• Implementera multifaktorautentisering på alla externa tjänster.

Källa: Proofpoint via Hackread (juni 2026)