AtlasCross ПЛЪХ
Мащабна кибератака активно е насочена към китайскоговорящи потребители чрез домейни с правописни грешки, имитиращи надеждни софтуерни марки. Тези измамни уебсайтове са предназначени да разпространяват досега недокументиран троянски кон за отдалечен достъп, известен като AtlasCross RAT. Кампанията се възползва от доверието на потребителите в широко използвани приложения, включително VPN клиенти, платформи за криптирани съобщения, инструменти за видеоконферентна връзка, тракери за криптовалути и софтуер за електронна търговия.
Инфраструктурата включва единадесет потвърдени злонамерени домейна, представящи се за добре познати услуги като Surfshark VPN, Signal, Telegram, Zoom и Microsoft Teams. Това стратегическо представяне увеличава вероятността от успешни инфекции, като използва познатостта на марката.
Съдържание
Профил на актьора-заплаха: Колективът на Силвър Фокс
Кампанията се приписва на плодовита китайска киберпрестъпна група, известна като Silver Fox. Тази група действа под множество псевдоними, включително SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 и Void Arachne. Изследователите по сигурността смятат тази група за една от най-активните киберзаплахи през последните години, особено поради постоянните ѝ нападки срещу управленски и финансов персонал в организациите.
Silver Fox използва разнообразни вектори за заразяване, като например платформи за съобщения, фишинг имейли и сайтове за разпространение на фалшив софтуер. Целите на групата включват дистанционен контрол на системата, извличане на чувствителни данни и финансови измами.
Еволюция на зловредния софтуер: от Gh0st RAT до AtlasCross
Появата на AtlasCross RAT бележи значителен напредък в инструментариума за борба със зловреден софтуер на Silver Fox. По-ранните операции разчитаха до голяма степен на варианти, производни на Gh0st RAT, включително ValleyRAT (известен също като Winos 4.0), Gh0stCringe и HoldingHands RAT (Gh0stBins). AtlasCross представлява по-усъвършенствана еволюция, включваща подобрени механизми за скритост, изпълнение и постоянство.
Разбивка на веригата на инфекцията: от примамка до екзекуция
Веригата на атаките започва с измамнически уебсайтове, които подвеждат потребителите да изтеглят ZIP архиви. Тези архиви съдържат инсталатори, които внедряват както легитимно приложение-примамка, така и троянски двоичен файл на Autodesk. Злонамереният инсталатор инициира зареждащ шелкод, който декриптира вградена конфигурация, получена от Gh0st RAT.
Този процес извлича данни от системата „Command-and-Control“ (C2) и извлича полезен товар от втори етап от домейна „bifa668.com“ през TCP порт 9899. Последният етап води до изпълнение на AtlasCross RAT в паметта, което значително намалява откриваемостта от традиционните инструменти за сигурност.
Злонамерена инфраструктура: Домейни, въоръжени с оръжие
Кампанията демонстрира координирана инфраструктурна настройка, като повечето злонамерени домейни са регистрирани на 27 октомври 2025 г., което показва умишлено планиране. Потвърдените домейни, използвани за доставка на зловреден софтуер, включват:
app-zoom.com
eyy-eyy.com
kefubao-pc.com
quickq-quickq.com
signal-signal.com
telegrtam.com.cn
trezor-trezor.com
ultraviewer-cn.com
wwtalk-app.com
www-surfshark.com
www-teams.com
Тези домейни имитират много добре легитимни услуги, често включвайки фини типографски вариации или регионални идентификатори, за да се избегнат подозрения.
Злоупотреба с доверие: Откраднати сертификати за подписване на код
Всички идентифицирани злонамерени инсталатори са подписани с помощта на един и същ откраднат сертификат за подписване на код с разширена валидация (EV), издаден на DUC FABULOUS CO., LTD, компания, базирана в Ханой, Виетнам. Повторното използване на този сертификат в множество несвързани кампании за зловреден софтуер предполага широко разпространение в киберпрестъпната екосистема. Тази тактика повишава възприеманата легитимност на злонамерените двоични файлове и помага за заобикаляне на защитните механизми.
Разширени възможности: Вътре в AtlasCross RAT
AtlasCross RAT въвежда мощен набор от възможности, предназначени за скритост, постоянство и контрол. Той интегрира рамката PowerChell, вграден C/C++ PowerShell механизъм за изпълнение, който вгражда .NET Common Language Runtime (CLR) директно в процеса на зловредния софтуер.
Преди да изпълни команди, зловредният софтуер деактивира ключови механизми за сигурност, като AMSI, ETW, Constrained Language Mode и ScriptBlock logging. Комуникацията със сървърите за командване и контрол е криптирана с помощта на ChaCha20 със случайни ключове за всеки пакет, генерирани чрез хардуерно генериране на случайни числа.
Ключовите функционалности включват:
- Целенасочено инжектиране на DLL файлове в WeChat
- Отвличане на сесия по протокола за отдалечен работен плот (RDP)
- Прекратяване на връзки на ниво TCP от китайски инструменти за сигурност като 360 Safe, Huorong, Kingsoft и QQ PC Manager
- Манипулиране на файловата система и изпълнение на команди от shell
- Постоянство чрез създаване на планирани задачи
Оперативна стратегия: Измама в голям мащаб
Silver Fox използва многопластова стратегия за домейни, за да поддържа надеждност и да избегне откриването. Това включва типосквотинг, отвличане на домейни и манипулиране на DNS, често комбинирани със специфични за региона конвенции за именуване, за да се намали подозрението на потребителите. Способността на групата убедително да възпроизвежда легитимни услуги играе ключова роля за ефективността на кампанията.
Разширяване на векторите на атака в цяла Азия
Поне от декември 2025 г. групата е разширила дейността си в множество страни, включително Япония, Малайзия, Филипините, Тайланд, Индонезия, Сингапур и Индия. Методите за атака са се развивали с течение на времето, преминавайки от фишинг имейли със злонамерени PDF прикачени файлове до злоупотреба с легитимни, но неправилно конфигурирани инструменти за дистанционно наблюдение и управление, като SyncFuture TSM.
Последващи кампании също така използваха програма за кражба на информация, базирана на Python, маскирана като приложение за WhatsApp. По-ранна активност през януари 2026 г. включваше примамки с данъчна тематика, насочени към индийски потребители със зловреден софтуер Blackmoon.
Гъвкав арсенал: Адаптивни операции за киберпрестъпления
Silver Fox демонстрира висока степен на оперативна гъвкавост, като комбинира множество семейства и техники за зловреден софтуер. Използването на ValleyRAT, заедно с инструменти за управление на риска (RMM) и персонализирани програми за кражба на злонамерен софтуер, базирани на Python, позволява бърза адаптация на веригите за заразяване. Тази гъвкавост поддържа както мащабни опортюнистични кампании, така и по-целенасочени, стратегически атаки.
Групата работи по двоен модел, балансирайки широко разпространени атаки с по-сложни операции, предназначени за дългосрочен достъп до системата и по-дълбоко проникване в мрежата.
Прецизност при фишинг атаки: Насочване към корпоративни жертви
В допълнение към широкомащабни кампании, Silver Fox провежда целенасочени фишинг атаки, насочени към специфични индустрии, по-специално японски производители. Тези атаки използват силно убедителни примамки, свързани със спазване на данъчното законодателство, корекции на заплатите, промени в работата и планове за собственост на акции от служителите.
След внедряване, ValleyRAT позволява на атакуващите да:
- Получете пълен дистанционен контрол над заразените системи
- Събиране на чувствителни и финансови данни
- Следете потребителската активност в реално време
- Поддържайте постоянство в мрежата
Това ниво на достъп позволява на злонамерените лица да ескалират атаките, да извличат поверителна информация и да се подготвят за по-нататъшни етапи на експлоатация в компрометирана среда.
