Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós AtlasCross RAT

AtlasCross RAT

El Mezo el Programari maliciós, Amenaça persistent avançada (APT), Eines d'administració remota
Traduir a:

Una campanya de ciberatac a gran escala està atacant activament usuaris de parla xinesa a través de dominis typosquatted que imiten marques de programari de confiança. Aquests llocs web enganyosos estan dissenyats per distribuir un troià d'accés remot prèviament indocumentat conegut com a AtlasCross RAT. La campanya aprofita la confiança dels usuaris en aplicacions àmpliament utilitzades, com ara clients VPN, plataformes de missatgeria xifrada, eines de videoconferència, rastrejadors de criptomonedes i programari de comerç electrònic.

La infraestructura inclou onze dominis maliciosos confirmats que suplanten serveis coneguts com ara Surfshark VPN, Signal, Telegram, Zoom i Microsoft Teams. Aquesta suplantació estratègica augmenta la probabilitat d'infeccions reeixides explotant la familiaritat amb la marca.

Perfil de l'actor amenaçador: The Silver Fox Collective

La campanya s'ha atribuït a un prolífic grup de ciberdelinqüència xinès conegut com a Silver Fox. Aquest grup opera sota múltiples àlies, com ara SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 i Void Arachne. Els investigadors de seguretat consideren aquest grup una de les ciberamenaces més actives dels darrers anys, sobretot a causa del seu atac persistent contra el personal directiu i financer dins de les organitzacions.

Silver Fox utilitza diversos vectors d'infecció com ara plataformes de missatgeria, correus electrònics de phishing i llocs de distribució de programari falsificat. Els objectius del grup inclouen el control remot del sistema, l'exfiltració de dades sensibles i el frau financer.

Evolució del programari maliciós: de Gh0st RAT a AtlasCross

L'aparició d'AtlasCross RAT marca un avenç significatiu en el conjunt d'eines de programari maliciós de Silver Fox. Les operacions anteriors es basaven en gran mesura en variants derivades de Gh0st RAT, incloent ValleyRAT (també conegut com a Winos 4.0), Gh0stCringe i HoldingHands RAT (Gh0stBins). AtlasCross representa una evolució més sofisticada, que incorpora mecanismes millorats de furt, execució i persistència.

Desglossament de la cadena d'infecció: de l'esquer a l'execució

La cadena d'atac comença amb llocs web fraudulents que enganyen els usuaris perquè descarreguin arxius ZIP. Aquests arxius contenen instal·ladors que implementen tant una aplicació esquer legítima com un binari troià d'Autodesk. L'instal·lador maliciós inicia un carregador de shellcode que desxifra una configuració integrada derivada de Gh0st RAT.

Aquest procés extreu detalls de Comandament i Control (C2) i recupera una càrrega útil de segona etapa del domini 'bifa668.com' a través del port TCP 9899. L'etapa final resulta en l'execució en memòria d'AtlasCross RAT, cosa que redueix significativament la detecció per part de les eines de seguretat tradicionals.

Infraestructura maliciosa: dominis armats

La campanya demostra una configuració d'infraestructura coordinada, amb la majoria de dominis maliciosos registrats el 27 d'octubre de 2025, cosa que indica una planificació deliberada. Els dominis confirmats utilitzats per al lliurament de programari maliciós inclouen:

app-zoom.com
eyy-eyy.com
kefubao-pc.com
quickq-quickq.com
signal-signal.com
telegrtam.com.cn
trezor-trezor.com
ultraviewer-cn.com
wwtalk-app.com
www-surfshark.com
www-teams.com

Aquests dominis imiten de prop els serveis legítims, sovint incorporant variacions tipogràfiques subtils o identificadors regionals per evitar sospites.

Abús de confiança: Certificats de signatura de codi robats

Tots els instal·ladors maliciosos identificats estan signats amb el mateix certificat de signatura de codi de validació estesa (EV) robat emès a DUC FABULOUS CO., LTD, una empresa amb seu a Hanoi, Vietnam. La reutilització d'aquest certificat en múltiples campanyes de programari maliciós no relacionades suggereix una circulació generalitzada dins de l'ecosistema ciberdelinqüent. Aquesta tàctica millora la legitimitat percebuda dels binaris maliciosos i ajuda a eludir les defenses de seguretat.

Capacitats avançades: dins d'AtlasCross RAT

AtlasCross RAT introdueix un potent conjunt de capacitats dissenyades per a la sigil·losi, la persistència i el control. Integra el marc de treball PowerChell, un motor d'execució natiu de PowerShell de C/C++ que integra el .NET Common Language Runtime (CLR) directament en el procés de programari maliciós.

Abans d'executar ordres, el programari maliciós desactiva mecanismes de seguretat clau com ara AMSI, ETW, el mode d'idioma restringit i el registre ScriptBlock. La comunicació amb els servidors d'ordres i control es xifra mitjançant ChaCha20 amb claus aleatòries per paquet generades mitjançant la generació de nombres aleatoris basada en maquinari.

Les funcionalitats clau inclouen:

  • Injecció DLL dirigida a WeChat
  • Segrest de sessió del Protocol d'escriptori remot (RDP)
  • Terminació a nivell TCP de connexions des d'eines de seguretat xineses com ara 360 Safe, Huorong, Kingsoft i QQ PC Manager
  • Manipulació del sistema de fitxers i execució d'ordres de shell
  • Persistència mitjançant la creació de tasques programades

Estratègia operativa: engany a escala

Silver Fox utilitza una estratègia de domini multicapa per mantenir la credibilitat i evadir la detecció. Això inclou el typosquatting, el segrest de dominis i la manipulació del DNS, sovint combinats amb convencions de noms específiques de la regió per reduir la sospita dels usuaris. La capacitat del grup per replicar de manera convincent serveis legítims juga un paper fonamental en l'eficàcia de la campanya.

Expansió dels vectors d'atac a tota Àsia

Des de desembre de 2025, com a mínim, el grup ha ampliat les seves operacions a diversos països, com ara el Japó, Malàisia, les Filipines, Tailàndia, Indonèsia, Singapur i l'Índia. Els mètodes d'atac han evolucionat amb el temps, passant de correus electrònics de phishing amb fitxers adjunts en PDF maliciosos a l'abús d'eines de monitorització i gestió remotes legítimes però mal configurades, com ara SyncFuture TSM.

Campanyes posteriors també han desplegat un lladre d'informació basat en Python disfressat d'aplicació de WhatsApp. Una activitat anterior al gener de 2026 va involucrar esquers amb temàtica fiscal dirigits a usuaris indis amb programari maliciós Blackmoon.

Arsenal flexible: operacions adaptatives de ciberdelinqüència

Silver Fox demostra un alt grau de flexibilitat operativa combinant múltiples famílies i tècniques de programari maliciós. L'ús de ValleyRAT juntament amb eines RMM i lladres personalitzats basats en Python permet una adaptació ràpida de les cadenes d'infecció. Aquesta versatilitat admet tant campanyes oportunistes a gran escala com atacs estratègics més dirigits.

El grup opera un model de doble via, equilibrant els atacs generalitzats amb operacions més sofisticades dissenyades per a l'accés al sistema a llarg termini i una infiltració més profunda de la xarxa.

Precisió del Spear-Phishing: Atacant les víctimes corporatives

A més de campanyes generals, Silver Fox duu a terme atacs de spear-phishing dirigits a indústries específiques, en particular fabricants japonesos. Aquests atacs utilitzen esquers altament convincents relacionats amb el compliment fiscal, els ajustos salarials, els canvis de lloc de treball i els plans d'accionariat dels empleats.

Un cop desplegat, ValleyRAT permet als atacants:

  • Obtenir un control remot complet dels sistemes infectats
  • Recollir dades sensibles i financeres
  • Monitoritzar l'activitat dels usuaris en temps real
  • Mantenir la persistència dins de la xarxa

Aquest nivell d'accés permet als actors amenaçadors escalar els atacs, exfiltrar informació confidencial i preparar-se per a etapes d'explotació posteriors dins d'entorns compromesos.

Tendència

Més vist

Carregant...