Des chercheurs de Proofpoint viennent de documenter un groupe cybercriminel sinophone en pleine expansion. TA4922, jusqu’ici concentré sur l’Asie, cible désormais des organisations au Royaume-Uni, en Allemagne, en Italie et en Afrique du Sud, avec des leurres redoutablement localisés.
Des mails qui ressemblent à s’y méprendre à une communication interne
Le mode opératoire de TA4922 repose sur une ingénierie sociale soignée. Les victimes reçoivent des messages qui imitent une notification RH, un bulletin de salaire, un avis d’audit fiscal ou une facture électronique, rédigés dans la langue du pays ciblé, avec les codes stylistiques qui vont avec. Pas de leurre en italien envoyé au Japon : le groupe sait précisément où il frappe. Les liens contenus dans ces mails renvoient vers des fichiers hébergés sur des plateformes grand public (GoFile ou MediaFire) qui déposent discrètement un logiciel malveillant sur le poste de la victime. Dans certains cas, le groupe pousse ses cibles à quitter la messagerie professionnelle pour continuer l’échange sur WhatsApp, LINE ou Microsoft Teams, échappant ainsi à la surveillance des outils de sécurité email.
Ce qui rend TA4922 particulièrement difficile à détecter, c’est sa capacité à se fondre dans l’environnement informatique légitime. Le groupe détourne des outils de gestion à distance reconnus comme AnyDesk pour maintenir un accès discret aux machines compromises, en se glissant derrière des logiciels que les équipes IT utilisent elles-mêmes au quotidien.
Un arsenal qui s’étoffe à un rythme inhabituel
Historiquement associé au malware ValleyRAT, TA4922 a introduit depuis mars 2026 plusieurs nouvelles familles malveillantes documentées pour la première fois par Proofpoint. Ce renouvellement rapide des outils est en lui-même un signal : le groupe fait évoluer ses techniques plus vite que la plupart des acteurs criminels suivis par les chercheurs. Fait notable, une partie de ces nouveaux outils semblerait développée avec l’aide de modèles d’intelligence artificielle générative, les indices laissés dans le code suggèrent une production accélérée, peu relue, peu finalisée.
Selon les experts de Proofpoint, “TA4922 mène actuellement plus de campagnes distinctes que tout autre acteur malveillant suivi dans leurs données sur les menaces, ce qui témoigne d’un rythme opérationnel soutenu, d’une grande variété d’appâts et d’objectifs multiples.” Le groupe est considéré comme financièrement motivé (vol de données, fraude, revente d’accès), mais ses malwares embarquent aussi des fonctionnalités de surveillance qui pourraient intéresser des groupes d’espionnage, voire leur être revendues.
Pour les équipes sécurité, les recommandations restent fondamentales : contrôle strict des droits d’administration, surveillance des exécutions depuis les répertoires temporaires, et vigilance accrue sur les outils de prise en main à distance déployés en dehors des processus habituels.
