AtlasCross RAT

Rozsáhlá kybernetická útoková kampaň aktivně cílí na čínsky mluvící uživatele prostřednictvím domén s překlepy, které napodobují důvěryhodné softwarové značky. Tyto klamavé webové stránky jsou navrženy tak, aby distribuovaly dříve nezdokumentovaný trojský kůň pro vzdálený přístup známý jako AtlasCross RAT. Kampaň využívá důvěry uživatelů v široce používané aplikace, včetně VPN klientů, platforem pro šifrované zasílání zpráv, nástrojů pro videokonference, sledovačů kryptoměn a softwaru pro elektronické obchodování.

Infrastruktura zahrnuje jedenáct potvrzených škodlivých domén, které se vydávají za známé služby, jako jsou Surfshark VPN, Signal, Telegram, Zoom a Microsoft Teams. Toto strategické vydávání se za infikované zvyšuje pravděpodobnost úspěšné infekce zneužíváním známosti značky.

Profil herce s hrozbou: The Silver Fox Collective

Kampaň byla připisována plodné čínské kyberzločinecké skupině známé jako Silver Fox. Tato skupina operuje pod různými přezdívkami, včetně SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 a Void Arachne. Bezpečnostní experti považují tuto skupinu za jednu z nejaktivnějších kybernetických hrozeb posledních let, zejména kvůli jejímu neustálému cílení na manažerský a finanční personál v organizacích.

Silver Fox využívá různé vektory infekce, jako jsou platformy pro zasílání zpráv, phishingové e-maily a stránky pro distribuci padělaného softwaru. Mezi cíle skupiny patří vzdálená správa systémů, únik citlivých dat a finanční podvody.

Vývoj malwaru: Od Gh0st RAT po AtlasCross

Vznik AtlasCross RAT představuje významný pokrok v sadě malwarových nástrojů společnosti Silver Fox. Dřívější operace se silně spoléhaly na varianty odvozené od Gh0st RAT, včetně ValleyRAT (známého také jako Winos 4.0), Gh0stCringe a HoldingHands RAT (Gh0stBins). AtlasCross představuje sofistikovanější evoluci, která zahrnuje vylepšené mechanismy utajení, provádění a perzistence.

Rozklad infekčního řetězce: Od návnady k popravě

Řetězec útoku začíná podvodnými webovými stránkami, které uživatele lstí přimějí ke stažení ZIP archivů. Tyto archivy obsahují instalační programy, které nasazují jak legitimní návnadovou aplikaci, tak i trojský binární soubor Autodesk. Škodlivý instalační program spustí zavaděč shellcode, který dešifruje vloženou konfiguraci odvozenou z Gh0st RAT.

Tento proces extrahuje podrobnosti o systému Command-and-Control (C2) a načítá datové zátěže druhé fáze z domény „bifa668.com“ přes TCP port 9899. Poslední fáze vede ke spuštění AtlasCross RAT v paměti, což výrazně snižuje detekci tradičními bezpečnostními nástroji.

Škodlivá infrastruktura: Zbraněné domény

Kampaň demonstruje koordinované nastavení infrastruktury, přičemž většina škodlivých domén byla registrována 27. října 2025, což naznačuje úmyslné plánování. Mezi potvrzené domény používané k distribuci malwaru patří:

app-zoom.com
eyy-eyy.com
kefubao-pc.com
quickq-quickq.com
signal-signal.com
telegrtam.com.cn
trezor-trezor.com
ultraviewer-cn.com
wwtalk-app.com
www.surfshark.com
www-teams.com

Tyto domény velmi věrně napodobují legitimní služby a často zahrnují jemné typografické variace nebo regionální identifikátory, aby se vyhnuly podezření.

Zneužití důvěry: Ukradené certifikáty pro podepisování kódu

Všechny identifikované škodlivé instalační programy jsou podepsány pomocí stejného ukradeného certifikátu pro podpis kódu s rozšířeným ověřováním (EV), který byl vydán společnosti DUC FABULOUS CO., LTD se sídlem v Hanoji ve Vietnamu. Opětovné použití tohoto certifikátu v několika nesouvisejících malwarových kampaních naznačuje jeho široké šíření v ekosystému kybernetické kriminality. Tato taktika zvyšuje vnímanou legitimitu škodlivých binárních souborů a pomáhá obejít bezpečnostní obranu.

Pokročilé možnosti: Uvnitř AtlasCross RAT

AtlasCross RAT představuje výkonnou sadu funkcí určených pro nenápadnost, perzistenci a kontrolu. Integruje framework PowerChell, nativní engine pro spouštění PowerShellu v C/C++, který integruje .NET Common Language Runtime (CLR) přímo do procesu malwaru.

Před spuštěním příkazů malware deaktivuje klíčové bezpečnostní mechanismy, jako jsou AMSI, ETW, režim omezeného jazyka a protokolování ScriptBlock. Komunikace se servery C&C je šifrována pomocí ChaCha20 s náhodnými klíči generovanými pro každý paket hardwarovým generováním náhodných čísel.

Mezi klíčové funkce patří:

• Cílená injekce DLL do WeChatu
• Únos relace protokolu RDP (Remote Desktop Protocol)
• Ukončení spojení na úrovni TCP z čínských bezpečnostních nástrojů, jako jsou 360 Safe, Huorong, Kingsoft a QQ PC Manager
• Manipulace se souborovým systémem a provádění příkazů shellu
• Perzistence díky vytváření plánovaných úloh

Operační strategie: Podvod ve velkém měřítku

Silver Fox využívá vícevrstvou strategii domén k udržení důvěryhodnosti a vyhnutí se odhalení. To zahrnuje překlepy, únosy domén a manipulaci s DNS, často v kombinaci s regionálně specifickými konvencemi pojmenování, aby se snížilo podezření uživatelů. Schopnost skupiny přesvědčivě replikovat legitimní služby hraje klíčovou roli v efektivitě kampaně.

Rozšiřování vektorů útoků napříč Asií

Minimálně od prosince 2025 skupina rozšířila své působení do několika zemí, včetně Japonska, Malajsie, Filipín, Thajska, Indonésie, Singapuru a Indie. Metody útoku se v průběhu času vyvíjely a přešly od phishingových e-mailů se škodlivými PDF přílohami až po zneužívání legitimních, ale špatně nakonfigurovaných nástrojů pro vzdálené monitorování a správu, jako je SyncFuture TSM.

Následné kampaně také nasadily program na bázi Pythonu, který se maskoval jako aplikace WhatsApp. Dřívější aktivita v lednu 2026 zahrnovala lákadla s daňovou tematikou zaměřená na indické uživatele pomocí malwaru Blackmoon.

Flexibilní arzenál: Adaptivní operace v oblasti kybernetické kriminality

Silver Fox demonstruje vysoký stupeň provozní flexibility kombinací více rodin a technik malwaru. Použití ValleyRAT spolu s nástroji RMM a vlastními stealery založenými na Pythonu umožňuje rychlou adaptaci infekčních řetězců. Tato všestrannost podporuje jak rozsáhlé oportunistické kampaně, tak cílenější, strategické útoky.

Skupina provozuje dvojí model, v němž vyvažuje rozsáhlé útoky sofistikovanějšími operacemi určenými pro dlouhodobý přístup k systémům a hlubší infiltraci sítě.

Přesnost spear-phishingu: Cílení na firemní oběti

Kromě rozsáhlých kampaní provádí Silver Fox cílené phishingové útoky zaměřené na konkrétní odvětví, zejména na japonské výrobce. Tyto útoky využívají velmi přesvědčivé návnady související s dodržováním daňových předpisů, úpravami platů, změnami zaměstnání a plány vlastnictví akcií zaměstnanců.

Po nasazení umožňuje ValleyRAT útočníkům:

• Získejte plnou vzdálenou kontrolu nad infikovanými systémy
• Sběr citlivých a finančních dat
• Sledování aktivity uživatelů v reálném čase
• Udržujte perzistenci v síti

Tato úroveň přístupu umožňuje útočníkům eskalovat útoky, získávat důvěrné informace a připravovat se na další fáze zneužití v kompromitovaném prostředí.