Kiinalaisryhmä TA4922 laajentaa kalasteluaan Eurooppaan – palkka- ja laskuhuijaus siirtää uhrin WhatsAppiin
Sama rikollisryhmä, joka aiemmin keskittyi Aasiaan, lähettää nyt paikallistettuja palkka- ja veroaiheisia viestejä Britanniaan, Saksaan ja Italiaan. Sen tunnusmerkki on siirtää uhri pois sähköpostista WhatsAppiin tai Teamsiin, jonne suodattimet eivät näe.
Tiivistelma
Tietoturvayhtiö Proofpoint seuraa kiinankielistä rikollisryhmää TA4922, joka levitti aiemmin haittaohjelmia Itä-Aasiaan ja siirtyi vuonna 2026 Britanniaan, Saksaan, Italiaan ja Etelä-Afrikkaan. Houkuttimina toimivat HR-, palkanmaksu-, vero- ja laskuaiheiset viestit, jotka ohjaavat uhrin viestisovellukseen. Suomea ei ole nimetty kohteeksi, mutta sama työpaikkakalastelun kaava on saapunut tänne ennenkin.
Viesti tulee työsähköpostiin ja näyttää ihan tutulta. Se koskee palkkaa, veroja tai erääntynyttä laskua, ja pyytää jatkamaan keskustelua WhatsAppissa. Juuri tähän siirtoon perustuu rahallisesti motivoitunut rikollisryhmä, jota tietoturvayhtiö Proofpoint seuraa nimellä TA4922.
Ryhmä on toiminut vuosia, mutta sen toiminta-alue oli pitkään Itä-Aasiassa. Kohteina olivat Japani, Taiwan, Korea, Singapore ja Intia. Vuonna 2026 kuva muuttui nopeasti, kun kampanjoita alkoi näkyä Britanniassa, Saksassa, Italiassa ja Etelä-Afrikassa.
Proofpoint kuvaa ryhmän tahdin poikkeukselliseksi.
– TA4922 toteuttaa tällä hetkellä enemmän erillisiä kampanjoita kuin yksikään muu seuraamamme verkkorikollistoimija, yhtiö kertoo raportissaan.
Tavoite on suora. Ryhmä hakee etäyhteyttä uhrin koneeseen ja käyttää sitä tietojen varastamiseen, petoksiin ja pääsyn myymiseen eteenpäin. Varastettavien joukossa ovat tunnukset, taloustiedot ja selaimen sisältö eli Chromen tallennetut salasanat, evästeet ja selaushistoria.
Houkuttimet räätälöidään maa kerrallaan
TA4922 ei lähetä samaa viestiä kaikkialle. Proofpoint kertoo, että houkuttimet käännetään ja muokataan kohdemaan mukaan. Teemat esiintyvät henkilöstöhallintona, palkanmaksuna, talousosastona, veroviranomaisena tai laskutuksena.
Tunnusmerkki on aina sama. Uhri yritetään saada pois sähköpostista ja LINEen, WhatsAppiin tai Microsoft Teamsiin, missä sähköpostin tietoturva ei näe jatkokeskustelua. Sen jälkeen seuraa tiedosto tai linkki, jonka takaa avautuu haittaohjelma.
Tartuntaketju on porrastettu. Liitteenä on pakattu ZIP-tiedosto, joka sisältää aidon ohjelmatiedoston ja sen rinnalle ladatun haitallisen DLL-kirjaston. Tämä DLL-sivulataus käynnistää lopulta haittaohjelman ja avaa yhteyden rikollisten komentopalvelimeen.
RAT (Remote Access Trojan)
Etäkäyttöhaittaohjelma antaa hyökkääjälle täyden hallinnan tartunnan saaneeseen koneeseen. Hän näkee ruudun, lukee tiedostot ja voi toimia kuin istuisi itse näppäimistön ääressä – ilman että käyttäjä huomaa mitään.
Tekoäly kirjoittaa haittaohjelmat nopeasti
Ryhmän työkalupakki on laaja. Käytössä ovat ValleyRAT eli Winos 4.0 ja Atlas RAT, ja niiden rinnalle Proofpoint on dokumentoinut kaksi uutta nimeä, RomulusLoaderin ja SilentRunLoaderin, joka on Pythonilla kirjoitettu tietovaras.
Proofpoint arvioi suurella varmuudella, että ryhmä rakentaa Python-haittaohjelmansa kielimallien avulla. Todisteena on vaihtamatta jäänyt paikkamerkki your_secret_key_here, joka oli unohtunut koodiin sellaisenaan. Vauhti näkyy myös aikajanassa. Tahti kiihtyi maaliskuussa 2026. SilentRunLoader havaittiin ensimmäisen kerran 30. maaliskuuta veroaiheisena Britanniassa, ja Atlas RAT laajeni Britanniaan ja Saksaan 2. huhtikuuta.
Suomea tai muita Pohjoismaita ei toistaiseksi ole vahvistettu kohteiksi. Se ei silti tee uutisesta etäistä. Palkkaan, veroihin ja laskuihin nojaava työpaikkakalastelu on saapunut Suomeen ennenkin, ja juuri viestisovellukseen siirtyminen on kaava, joka ylittää kielirajat helpommin kuin moni muu huijaustyyppi. Miksi se toimii? Koska se vetoaa kiireeseen ja auktoriteettiin, joita jokainen tunnistaa työpaikallaan.
Tunnistusmerkit
- Odottamaton viesti, joka koskee palkkaa, veroja, laskua tai HR-asiaa.
- Painostus jatkaa keskustelua WhatsAppissa, Teamsissa tai LINEssä.
- Liitteenä ZIP-tiedosto tai jakolinkki, joka pyytää ajamaan ohjelman.
- Sujuvalla suomella kirjoitettu viesti, joka silti pyytää jotain epätavallista.
Mitä tehdä
Älä avaa ZIP-tiedostoja äläkä aja ohjelmia linkeistä tai liitteistä, joita et ole odottanut. Suhtaudu varauksella jokaiseen pyyntöön, joka siirtää keskustelun työsähköpostista viestisovellukseen.
Varmista palkka-, vero- ja laskupyynnöt aina virallisia sisäisiä kanavia pitkin, esimerkiksi soittamalla tutulle kollegalle. Ilmoita työpaikan kalasteluyrityksistä omalle IT- tai tietoturvatiimillesi sekä Kyberturvallisuuskeskukselle osoitteessa ilmoita.kyberturvallisuuskeskus.fi.
Jää nähtäväksi, kuinka pohjoiseen kampanjat etenevät. Britanniasta Suomeen on lyhyt matka, kun houkuttimet käännetään koneellisesti.