中国語話者ハッカー、Atlas RATを配布するEメール攻撃で日本やヨーロッパを標的に

中国語話者ハッカー、Atlas RATを配布するEメール攻撃で日本やヨーロッパを標的に

BleepingComputer – June 3, 2026

2026年3月以降活動を活発化させている中国語話者のサイバー犯罪グループ「TA4922」について、Proofpointが報告。このグループは日本を主な標的とし、台湾や韓国、シンガポール、インドなどのアジア諸国・地域に対してもソーシャルエンジニアリング攻撃を仕掛けてきたが、ここ数か月でマルウェア武器庫を拡充しつつ、英国やドイツ、イタリアなどのヨーロッパ諸国や南アフリカにも攻撃を拡大しているという。

TA4922は2026年3月以降、活動を活発化

Proofpointは、2025年春からTA4922に関連するEメール攻撃キャンペーンを追跡。Eメールや標的選定、ペイロードなどを分析した結果、同アクターは金銭的な動機を持つ可能性が高いと評価している。2026年3月以降、その活動は急激に活発化しており、4月以降はこれまでにない多様な活動形態と高い活動ペースが見受けられるようになっているという。

TA4922はデータ窃取や詐欺行為、アクセスの転売、永続アクセスの確立などの金銭獲得に向けた目標を達成するため、被害者環境へのリモートアクセスを獲得することに主眼を置いているとされる。過去にはWinos 4.0（ValleyRAT）やHoldingHandsといったマルウェアファミリーとの関連が指摘されていたが、ここ数か月で以下のような新たなマルウェアも使用するようになっているという。

• Atlas RAT
• RomulusLoader（マルウェアローダー）
• SilentRunLoader（ローダー／スティーラー）

TA4922は、同じくWinos 4.0を使用するとされるグループ「Silver Fox（Void Arachne）」と重複する点も持つものの、TA4922の目的がスパイ行為よりもサイバー犯罪に近いことから、別の活動群として追跡されている。

日本など標的地域によってローカライズされたEメール攻撃

TA4922の手法は、ソーシャルエンジニアリングによって受信者を騙して悪意あるリンクをクリックさせ、サードパーティサービス上でホストされペイロードをダウンロードさせることで、認証情報を盗むというもの。EメールからLINEなどのメッセージングアプリケーションへと、やり取りの場を移行させる場合もあるとされる。

キャンペーンの規模は小〜中程度であることが多く、フィッシングメッセージは、標的とする具体的な地域や業務上の役割などに合わせてカスタマイズされるという。例えば、Proofpointが共有した日本組織の従業員を標的にLINEへ誘導しようとするEメール文面のスクリーンショットには、日本語で「業務連携に関する緊急の確認事項があるため、業務用LINEグループを新規作成してください。グループ名には会社のフルネームを記載してください」などと記されている。

また、Atlas RATの配布を目的に実施された日本組織向けのキャンペーンでも、日本語にローカライズしたEメールが使われていた。Proofpointが2026年3月6日に観測したこのキャンペーンは人事関連のテーマが使用されており、以下のような文が含まれていたという。

「当社人事部における総合的な評価及び経営陣の協議を経て、氏のこれまでの優れた業務実績と組織への貢献を肯定するため、給与を調整することを決定いたしました。本次の給与調整に関する核心的な情報は、別添ファイルにて詳細を記載しております」

このメールはあえて曖昧な内容かつ堅苦しい口調で書かれており、給与調整の「詳しい内容」を記したとされるファイルへのリンクが含まれていた。リンクは「【給与調整のお知らせ】.zip」と名付けられたZIPファイルに繋がるURLで、これに含まれる実行ファイルと悪性DLLにより、DLLサイドローディングを通じてAtlas RATのペイロードがインストールされる仕組みになっていたという。

このほか、「電子請求書発行のお知らせ」と題したEメールによって日本組織へAtlas RATの配布を試みるキャンペーンも、2026年4月7日に観測されている。

マルウェア武器庫の拡充：Atlas RAT、RomulusLoader、SilentRunLoader

Proofpointによれば、TA4922は手持ちのマルウェアを大きく増やしており、マルウェア開発において大規模言語モデル（LLM）を使用している可能性があるという。同社は、プレースホルダー値、コードコメント、およびAI生成コードに一般的に見られるパターンの存在に基づいてこの結論を導き出している。

Atlas RAT

TA4922が最近使用し始めたマルウェアの1つが、Atlas RAT。同マルウェアは最近新たに特定されたリモートアクセス型トロイの木馬で、以下のような性能を備える。

• システムの偵察
• 標的型ファイル窃取
• プラグインおよびペイロードのダウンロード
• キーロギング
• スクリーンショットの取得
• 音声およびWebカメラの録音・録画
• システムのシャットダウン／再起動コマンド

このように、サイバースパイ活動やサーベイランス（監視）活動にも活用できそうな性能のほか、アンチサンドボックス機能やアンチ解析チェック機能も備えるとされる。

RomulusLoader

同様に最近新たに見つかったRomulusLoaderは、追加のペイロードをダウンロード・実行する役割を持つ。2026年3月23日、Proofpointは同ローダーを配布することを目指した日本組織に対するEメール攻撃キャンペーンを観測している。

このキャンペーンは社内連絡を装ったメッセージにより、「社内限定資料」とされる文書を標的ユーザーに開かせ、DLLサイドローディングによってRomulusLoaderをインストールさせることを目指すものだったとされる。

RomulusLoaderの配布を試みるキャンペーンでは、日本組織のほか、ドイツなどの組織も標的になっている。

SilentRunLoader

Proofpointが特定したもう1つの新たなマルウェアが、PythonベースのローダーであるSilentRunLoader。Google Chromeの認証情報やCookie、ブラウジングデータを盗み出すスティーラーとしての性能も備える。

Proofpointはこのマルウェアの展開に繋がるキャンペーンを2026年3月30日に初めて発見。このキャンペーンの標的は主に英国で、VAT（付加価値税）申告、給与税関連書類、および規制遵守要件に言及するなどして税務当局を装っていたとされる。英国のほか、東南アジアの組織もSilentRunLoaderキャンペーンの標的となっている。

上記3つの新たなマルウェアのほか、ProofpointはTA4922がWinos 4.0を使用するのも観測。このマルウェアは、攻撃者に包括的なリモートアクセス機能を提供するものだという。

ほかのアクターよりも「ユニーク」なキャンペーン

Proofpointは、同社が追跡するその他の脅威アクターと比べて、TA4922のキャンペーンは「よりユニーク」であると指摘。その評価の理由として、同アクターの多様なルアーテーマ、広範な標的選定、目的の多様さを挙げている。また、金銭的動機を持つと思われる一方で、サイバースパイグループに利用または購入させられそうなサーベイランス性能付きマルウェアを使用する点も注目に値するとした。

Proofpointのブログ記事では、TA4922のキャンペーンに関するさらに詳しい解説や、IoCなどが共有されている。