TA4922: "SilentRunLoader" Malware-Kampagne nimmt UK und Europa ins Visier
security ta4922 silentrunloader malware
trending_up Trend: security

TA4922: "SilentRunLoader" Malware-Kampagne nimmt UK und Europa ins Visier

calendar_month 4. Juni 2026

Zusammenfassung

Die hochentwickelte Bedrohungsgruppe TA4922, die mutmaßlich aus China stammt, hat eine neue globale Kampagne gestartet. Unter Einsatz neuer Malware-Familien wie SilentRunLoader und RomulusLoader werden gezielt Organisationen im Vereinigten Königreich und in Europa angegriffen. Die Angreifer nutzen dabei lokalisierte Köder, die oft Themen wie Personalwesen (HR) und Gehaltsabrechnungen aufgreifen, um in kritische Unternehmensfunktionen einzudringen.

Was ist passiert?

TA4922 hat sein operatives Tempo deutlich erhöht und setzt nun auf eine neue Infrastruktur sowie fortgeschrittene Malware. Die Kampagne nutzt bösartige E-Mails mit Anhängen oder Links, die auf die Installation von SilentRunLoader und RomulusLoader abzielen. Besonders auffällig ist die Verwendung von lokalisierten Inhalten, die speziell auf europäische und britische Unternehmen zugeschnitten sind. Die Malware dient als Türöffner für weitere Schadsoftware und ermöglicht den Angreifern den dauerhaften Zugriff auf die infizierten Systeme.

Warum es wichtig ist

Der Fokus auf HR- und Payroll-Themen zeigt, dass die Angreifer gezielt Abteilungen mit Zugriff auf sensible Mitarbeiterdaten und Finanzinformationen anvisieren. Da die Gruppe TA4922 mit staatlich unterstützten Akteuren in Verbindung gebracht wird, stellt diese Kampagne ein erhebliches Risiko für die Cybersicherheit und den Schutz geistigen Eigentums europäischer Unternehmen dar. Die hohe Professionalität der Köder erschwert die Erkennung durch herkömmliche Sicherheitslösungen.

Beweise

Proofpoint hat die Entwicklung von TA4922 detailliert dokumentiert und die neuen Malware-Tools identifiziert. Berichte von Hackread bestätigen die gezielten Angriffe auf europäische Infrastrukturen. Sicherheitsforscher haben spezifische Indikatoren (IOCs) für SilentRunLoader gefunden, die auf eine koordinierte und ressourcenstarke Kampagne hindeuten.

Analyse

Die Verwendung von Loadern wie SilentRunLoader deutet auf eine Strategie hin, bei der die eigentliche Schadlast erst in einem späteren Stadium nachgeladen wird, um Entdeckungssysteme zu umgehen. Dass die Gruppe ihre Aktivitäten von asiatischen Zielen auf den Westen ausweitet, signalisiert eine strategische Neuausrichtung. Die Lokalisierung der Angriffsvektoren (Sprache, Themenbezug) erhöht die Erfolgsquote der Phishing-Versuche drastisch.

Praktische Erkenntnisse

  • IT-Sicherheitsteam informieren: Unverzügliche Warnung vor SilentRunLoader-Indikatoren herausgeben.
  • Sensibilisierung der Mitarbeiter: Besonders Personal- und Buchhaltungsabteilungen sollten auf E-Mails zu HR- und Payroll-Themen von externen Quellen sensibilisiert werden.
  • Technische Filter: E-Mail-Sicherheitslösungen sollten auf die spezifischen IOCs von TA4922 aktualisiert werden.
  • Multi-Faktor-Authentifizierung (MFA): Sicherstellen, dass alle kritischen Konten durch MFA geschützt sind, um die Auswirkungen gestohlener Zugangsdaten zu minimieren.

Offene Fragen

  • Welche spezifischen Branchen in Europa sind am stärksten betroffen?
  • Gibt es bereits Erkenntnisse über die endgültigen Ziele der Exfiltration (Spionage oder finanzielle Motive)?

Quellen

  1. TA4922: The Suspected Chinese Crime Group is Going Global
  2. China-Linked TA4922 Hackers Target UK, Europe With New SilentRunLoader Malware