AtlasCross RAT
تستهدف حملة هجوم إلكتروني واسعة النطاق المستخدمين الناطقين بالصينية عبر مواقع إلكترونية مزيفة تحمل أسماء علامات تجارية موثوقة لبرامج. صُممت هذه المواقع الخادعة لنشر برنامج تجسس خبيث للوصول عن بُعد، لم يُوثق سابقًا، يُعرف باسم AtlasCross RAT. تستغل هذه الحملة ثقة المستخدمين في تطبيقات شائعة الاستخدام، بما في ذلك برامج VPN، ومنصات المراسلة المشفرة، وأدوات مؤتمرات الفيديو، وبرامج تتبع العملات المشفرة، وبرامج التجارة الإلكترونية.
تتضمن البنية التحتية أحد عشر نطاقًا خبيثًا مؤكدًا ينتحل صفة خدمات معروفة مثل Surfshark VPN وSignal وTelegram وZoom وMicrosoft Teams. يزيد هذا الانتحال الاستراتيجي من احتمالية نجاح الإصابات من خلال استغلال شهرة العلامات التجارية.
جدول المحتويات
نبذة عن الجهة الفاعلة المهددة: مجموعة الثعلب الفضي
تُعزى هذه الحملة إلى مجموعة إجرامية إلكترونية صينية نشطة تُعرف باسم "الثعلب الفضي". تعمل هذه المجموعة تحت أسماء مستعارة متعددة، منها "سويم سنيك" و"اللص العظيم للوادي" و"UTG-Q-1000" و"فويد أراكن". يعتبر باحثو الأمن هذه المجموعة من أكثر التهديدات الإلكترونية نشاطًا في السنوات الأخيرة، لا سيما بسبب استهدافها المستمر للموظفين الإداريين والماليين في المؤسسات.
تستخدم مجموعة سيلفر فوكس أساليب متنوعة للعدوى، مثل منصات المراسلة، ورسائل البريد الإلكتروني الاحتيالية، ومواقع توزيع البرامج المزيفة. وتشمل أهداف المجموعة التحكم عن بُعد في الأنظمة، وسرقة البيانات الحساسة، والاحتيال المالي.
تطور البرمجيات الخبيثة: من برنامج Gh0st RAT إلى برنامج AtlasCross
يمثل ظهور برنامج AtlasCross RAT تطورًا هامًا في مجموعة أدوات البرمجيات الخبيثة لشركة Silver Fox. اعتمدت العمليات السابقة بشكل كبير على متغيرات مشتقة من برنامج Gh0st RAT، بما في ذلك ValleyRAT (المعروف أيضًا باسم Winos 4.0) وGh0stCringe وHoldingHands RAT (Gh0stBins). يمثل AtlasCross تطورًا أكثر تعقيدًا، إذ يتضمن آليات محسّنة للتخفي والتنفيذ والبقاء.
تحليل سلسلة العدوى: من الإغراء إلى الإعدام
تبدأ سلسلة الهجوم بمواقع ويب احتيالية تخدع المستخدمين لتحميل ملفات مضغوطة بصيغة ZIP. تحتوي هذه الملفات على برامج تثبيت تُشغّل تطبيقًا وهميًا شرعيًا وبرنامجًا ثنائيًا مُخترقًا من Autodesk. يُشغّل برنامج التثبيت الخبيث مُحمّلًا لرمز برمجي يقوم بفك تشفير إعدادات مُضمّنة مُستمدة من برنامج Gh0st RAT.
تستخرج هذه العملية تفاصيل التحكم والسيطرة (C2) وتسترجع حمولة المرحلة الثانية من النطاق 'bifa668.com' عبر منفذ TCP 9899. وتؤدي المرحلة النهائية إلى تنفيذ AtlasCross RAT في الذاكرة، مما يقلل بشكل كبير من اكتشافه بواسطة أدوات الأمان التقليدية.
البنية التحتية الخبيثة: المجالات المُسلّحة
تُظهر الحملة بنية تحتية منسقة، حيث سُجّلت معظم النطاقات الخبيثة في 27 أكتوبر 2025، مما يدل على تخطيط مُسبق. تشمل النطاقات المؤكدة المستخدمة لنشر البرامج الضارة ما يلي:
app-zoom.com
eyy-eyy.com
kefubao-pc.com
quickq-quickq.com
signal-signal.com
telegrtam.com.cn
trezor-trezor.com
ultraviewer-cn.com
wwtalk-app.com
www-surfshark.com
www-teams.com
تحاكي هذه النطاقات الخدمات المشروعة بشكل وثيق، وغالبًا ما تتضمن اختلافات طفيفة في الطباعة أو معرفات إقليمية لتجنب الشك.
إساءة استخدام الثقة: شهادات توقيع الشفرة المسروقة
جميع برامج التثبيت الخبيثة التي تم تحديدها موقعة باستخدام نفس شهادة التوقيع الإلكتروني المسروقة من نوع "التحقق الموسع" (EV) الصادرة لشركة "دوك فابولوس المحدودة" (DUC FABULOUS CO., LTD) ومقرها هانوي، فيتنام. يشير استخدام هذه الشهادة في حملات برمجيات خبيثة متعددة وغير مترابطة إلى انتشارها الواسع في أوساط المجرمين الإلكترونيين. يعزز هذا الأسلوب شرعية الملفات الثنائية الخبيثة ويساعد على تجاوز أنظمة الحماية.
قدرات متقدمة: نظرة داخلية على برنامج AtlasCross RAT
يُقدّم برنامج AtlasCross RAT مجموعةً قويةً من الإمكانيات المصممة للتخفي والبقاء والتحكم. وهو يدمج إطار عمل PowerChell، وهو محرك تنفيذ PowerShell أصلي مكتوب بلغة C/C++، ويُضمّن بيئة تشغيل اللغة العامة (CLR) الخاصة بـ .NET مباشرةً في عملية البرمجية الخبيثة.
قبل تنفيذ الأوامر، يعطّل البرنامج الخبيث آليات الأمان الرئيسية مثل AMSI وETW ووضع اللغة المقيدة وتسجيل ScriptBlock. ويتم تشفير الاتصال بخوادم التحكم والسيطرة باستخدام خوارزمية ChaCha20 مع مفاتيح عشوائية لكل حزمة يتم توليدها عبر مولد أرقام عشوائية قائم على الأجهزة.
تشمل الوظائف الرئيسية ما يلي:
- حقن DLL مستهدف في WeChat
- اختطاف جلسة بروتوكول سطح المكتب البعيد (RDP)
- إنهاء الاتصالات على مستوى بروتوكول TCP من أدوات الأمان الصينية مثل 360 Safe وHuorong وKingsoft وQQ PC Manager
- معالجة نظام الملفات وتنفيذ أوامر النظام
- المثابرة من خلال إنشاء المهام المجدولة
الاستراتيجية التشغيلية: الخداع على نطاق واسع
تعتمد مجموعة سيلفر فوكس استراتيجية نطاقات متعددة الطبقات للحفاظ على مصداقيتها وتجنب الكشف عنها. وتشمل هذه الاستراتيجية انتحال أسماء النطاقات، واختراقها، والتلاعب بنظام أسماء النطاقات (DNS)، وغالبًا ما تقترن هذه الاستراتيجية باتفاقيات تسمية خاصة بكل منطقة لتقليل شكوك المستخدمين. وتلعب قدرة المجموعة على محاكاة الخدمات الشرعية بشكل مقنع دورًا حاسمًا في فعالية حملتها.
توسيع نطاق الهجمات في جميع أنحاء آسيا
منذ ديسمبر 2025 على الأقل، وسّعت المجموعة نطاق عملياتها لتشمل دولًا متعددة، منها اليابان وماليزيا والفلبين وتايلاند وإندونيسيا وسنغافورة والهند. وقد تطورت أساليب الهجوم بمرور الوقت، من رسائل البريد الإلكتروني التصيدية التي تحتوي على مرفقات PDF خبيثة، إلى استغلال أدوات المراقبة والإدارة عن بُعد المشروعة ولكن ذات الإعدادات الخاطئة، مثل SyncFuture TSM.
استخدمت حملات لاحقة أيضاً برنامجاً لسرقة المعلومات مبنياً على لغة بايثون، متنكراً في هيئة تطبيق واتساب. وشملت أنشطة سابقة في يناير 2026 استخدام طُعمٍ ذي طابع ضريبي لاستهداف المستخدمين الهنود ببرنامج بلاك مون الخبيث.
ترسانة مرنة: عمليات مكافحة الجرائم الإلكترونية التكيفية
يُظهر برنامج Silver Fox مرونة تشغيلية عالية بفضل دمجه بين عائلات وتقنيات برمجيات خبيثة متعددة. ويتيح استخدام ValleyRAT جنبًا إلى جنب مع أدوات إدارة المراقبة عن بُعد (RMM) وبرامج سرقة البيانات المخصصة المبنية على لغة بايثون، التكيف السريع لسلاسل العدوى. وتدعم هذه المرونة كلاً من الحملات الانتهازية واسعة النطاق والهجمات الاستراتيجية الأكثر استهدافًا.
تعتمد المجموعة نموذجاً مزدوج المسار، حيث توازن بين الهجمات واسعة النطاق والعمليات الأكثر تطوراً المصممة للوصول إلى النظام على المدى الطويل والتسلل الأعمق إلى الشبكة.
دقة التصيد الاحتيالي الموجه: استهداف ضحايا الشركات
إلى جانب الحملات واسعة النطاق، تشنّ شركة سيلفر فوكس هجمات تصيّد احتيالي موجّهة تستهدف قطاعات محددة، ولا سيما الشركات المصنّعة اليابانية. وتستخدم هذه الهجمات طُعماً مقنعاً للغاية يتعلق بالامتثال الضريبي، وتعديلات الرواتب، وتغييرات الوظائف، وخطط ملكية أسهم الموظفين.
بمجرد نشرها، تُمكّن تقنية ValleyRAT المهاجمين من:
- التحكم الكامل عن بعد في الأنظمة المصابة
- جمع البيانات الحساسة والمالية
- مراقبة نشاط المستخدم في الوقت الفعلي
- الحفاظ على استمرارية البيانات داخل الشبكة
يسمح هذا المستوى من الوصول للجهات الفاعلة في التهديدات بتصعيد الهجمات، واستخراج المعلومات السرية، والاستعداد لمراحل استغلال أخرى داخل البيئات المخترقة.
