AtlasCross RATTE
En storstilet cyberangrebskampagne er aktivt rettet mod kinesisktalende brugere via typosquattede domæner, der imiterer betroede softwaremærker. Disse vildledende websteder er designet til at distribuere en hidtil udokumenteret fjernadgangstrojaner kendt som AtlasCross RAT. Kampagnen udnytter brugernes tillid til udbredte applikationer, herunder VPN-klienter, krypterede beskedplatforme, videokonferenceværktøjer, kryptovaluta-trackere og e-handelssoftware.
Infrastrukturen omfatter elleve bekræftede ondsindede domæner, der udgiver sig for at være velkendte tjenester som Surfshark VPN, Signal, Telegram, Zoom og Microsoft Teams. Denne strategiske efterligning øger sandsynligheden for succesfulde infektioner ved at udnytte brandkendskab.
Indholdsfortegnelse
Profil af trusselskuespiller: Silver Fox-kollektivet
Kampagnen er blevet tilskrevet en produktiv kinesisk cyberkriminalitetsgruppe kendt som Silver Fox. Denne gruppe opererer under flere alias, herunder SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 og Void Arachne. Sikkerhedsforskere anser denne gruppe for at være en af de mest aktive cybertrusler i de senere år, især på grund af dens vedvarende målretning af ledelses- og økonomipersonale i organisationer.
Silver Fox anvender forskellige infektionsvektorer såsom beskedplatforme, phishing-e-mails og distributionssider til forfalsket software. Gruppens mål omfatter fjernstyring af systemer, udtømning af følsomme data og økonomisk svindel.
Malwares udvikling: Fra Gh0st RAT til AtlasCross
Fremkomsten af AtlasCross RAT markerer et betydeligt fremskridt i Silver Fox' malware-værktøjssæt. Tidligere operationer var i høj grad afhængige af varianter afledt af Gh0st RAT, herunder ValleyRAT (også kendt som Winos 4.0), Gh0stCringe og HoldingHands RAT (Gh0stBins). AtlasCross repræsenterer en mere sofistikeret udvikling, der inkorporerer forbedrede stealth-, udførelses- og persistensmekanismer.
Opdeling af infektionskæden: Fra lokkemiddel til henrettelse
Angrebskæden starter med falske websteder, der narrer brugere til at downloade ZIP-arkiver. Disse arkiver indeholder installationsprogrammer, der implementerer både et legitimt lokkeprogram og en trojaniseret Autodesk-binærfil. Det ondsindede installationsprogram starter en shellcode-indlæser, der dekrypterer en integreret konfiguration afledt af Gh0st RAT.
Denne proces udtrækker kommando-og-kontrol (C2) detaljer og henter en anden fase af nyttelasten fra domænet 'bifa668.com' via TCP-port 9899. Den sidste fase resulterer i udførelse af AtlasCross RAT i hukommelsen, hvilket reducerer detektion med traditionelle sikkerhedsværktøjer betydeligt.
Ondsindet infrastruktur: Våbenbesatte domæner
Kampagnen demonstrerer en koordineret infrastrukturopsætning, hvor de fleste ondsindede domæner er registreret den 27. oktober 2025, hvilket indikerer bevidst planlægning. Bekræftede domæner, der bruges til levering af malware, inkluderer:
app-zoom.com
eyy-eyy.com
kefubao-pc.com
quickq-quickq.com
signal-signal.com
telegrtam.com.cn
trezor-trezor.com
ultraviewer-cn.com
wwtalk-app.com
www-surfshark.com
www-teams.com
Disse domæner efterligner nøje legitime tjenester og inkorporerer ofte subtile typografiske variationer eller regionale identifikatorer for at undgå mistanke.
Misbrug af tillid: Stjålne kodesigneringscertifikater
Alle identificerede ondsindede installatører er signeret med det samme stjålne Extended Validation (EV)-kodesigneringscertifikat, der er udstedt til DUC FABULOUS CO., LTD, en virksomhed med base i Hanoi, Vietnam. Genbrugen af dette certifikat på tværs af flere uafhængige malwarekampagner tyder på udbredt cirkulation inden for det cyberkriminelle økosystem. Denne taktik forstærker den opfattede legitimitet af ondsindede binære filer og hjælper med at omgå sikkerhedsforsvar.
Avancerede funktioner: Inde i AtlasCross RAT
AtlasCross RAT introducerer et kraftfuldt sæt af funktioner designet til stealth, persistens og kontrol. Det integrerer PowerChell-frameworket, en indbygget C/C++ PowerShell-udførelsesmotor, der integrerer .NET Common Language Runtime (CLR) direkte i malwareprocessen.
Før udførelsen af kommandoer deaktiverer malwaren vigtige sikkerhedsmekanismer såsom AMSI, ETW, Constrained Language Mode og ScriptBlock-logføring. Kommunikation med kommando- og kontrolservere krypteres ved hjælp af ChaCha20 med tilfældige nøgler pr. pakke genereret via hardwarebaseret generering af tilfældige tal.
Nøglefunktioner inkluderer:
- Målrettet DLL-injektion i WeChat
- Kapring af RDP-sessioner (Remote Desktop Protocol)
- Afbrydelse af forbindelser på TCP-niveau fra kinesiske sikkerhedsværktøjer som 360 Safe, Huorong, Kingsoft og QQ PC Manager
- Manipulation af filsystemer og udførelse af shell-kommandoer
- Vedholdenhed gennem planlagt opgaveoprettelse
Operationel strategi: Bedrag i stor skala
Silver Fox anvender en flerlags domænestrategi for at opretholde troværdighed og undgå at blive opdaget. Dette inkluderer typosquatting, domænekapring og DNS-manipulation, ofte kombineret med regionsspecifikke navngivningskonventioner for at reducere brugermistænksomhed. Gruppens evne til overbevisende at replikere legitime tjenester spiller en afgørende rolle i kampagnens effektivitet.
Udbredelse af angrebsvektorer i Asien
Siden mindst december 2025 har gruppen udvidet sine aktiviteter på tværs af flere lande, herunder Japan, Malaysia, Filippinerne, Thailand, Indonesien, Singapore og Indien. Angrebsmetoderne har udviklet sig over tid, og er gået fra phishing-e-mails med ondsindede PDF-vedhæftninger til misbrug af legitime, men forkert konfigurerede fjernovervågnings- og administrationsværktøjer såsom SyncFuture TSM.
Efterfølgende kampagner har også anvendt en Python-baseret informationstyveri forklædt som en WhatsApp-applikation. Tidligere aktivitet i januar 2026 involverede skatterelaterede lokkemidler rettet mod indiske brugere med Blackmoon-malware.
Fleksibelt arsenal: Adaptive cyberkriminalitetsoperationer
Silver Fox demonstrerer en høj grad af operationel fleksibilitet ved at kombinere flere malwarefamilier og -teknikker. Brugen af ValleyRAT sammen med RMM-værktøjer og brugerdefinerede Python-baserede stealers muliggør hurtig tilpasning af infektionskæder. Denne alsidighed understøtter både store opportunistiske kampagner og mere målrettede, strategiske angreb.
Gruppen opererer med en tosporet model, der balancerer udbredte angreb med mere sofistikerede operationer designet til langvarig systemadgang og dybere netværksinfiltration.
Spear-Phishing Præcision: Målretning mod virksomhedsofre
Ud over brede kampagner udfører Silver Fox målrettede spear-phishing-angreb rettet mod specifikke brancher, især japanske producenter. Disse angreb bruger meget overbevisende lokkemidler relateret til skatteoverholdelse, lønjusteringer, jobskifter og aktieordninger for medarbejdere.
Når ValleyRAT er implementeret, kan angribere:
- Få fuld fjernkontrol over inficerede systemer
- Indsamling af følsomme og finansielle data
- Overvåg brugeraktivitet i realtid
- Oprethold vedholdenhed i netværket
Dette adgangsniveau giver trusselsaktører mulighed for at eskalere angreb, udtømme fortrolige oplysninger og forberede sig på yderligere udnyttelsesfaser i kompromitterede miljøer.
