AtlasCross RAT
Μια μεγάλης κλίμακας εκστρατεία κυβερνοεπιθέσεων στοχεύει ενεργά κινέζους χρήστες μέσω τομέων που έχουν παραβιαστεί με typosquatting και μιμούνται αξιόπιστες μάρκες λογισμικού. Αυτοί οι παραπλανητικοί ιστότοποι έχουν σχεδιαστεί για να διανέμουν ένα προηγουμένως μη καταγεγραμμένο trojan απομακρυσμένης πρόσβασης, γνωστό ως AtlasCross RAT. Η εκστρατεία αξιοποιεί την εμπιστοσύνη των χρηστών σε εφαρμογές που χρησιμοποιούνται ευρέως, συμπεριλαμβανομένων των προγραμμάτων-πελατών VPN, των κρυπτογραφημένων πλατφορμών ανταλλαγής μηνυμάτων, των εργαλείων τηλεδιάσκεψης, των ιχνηλατών κρυπτονομισμάτων και του λογισμικού ηλεκτρονικού εμπορίου.
Η υποδομή περιλαμβάνει έντεκα επιβεβαιωμένα κακόβουλα domains που μιμούνται γνωστές υπηρεσίες όπως το Surfshark VPN, το Signal, το Telegram, το Zoom και το Microsoft Teams. Αυτή η στρατηγική μίμηση αυξάνει την πιθανότητα επιτυχών μολύνσεων εκμεταλλευόμενη την εξοικείωση με την επωνυμία.
Πίνακας περιεχομένων
Προφίλ Ηθοποιού Απειλής: The Silver Fox Collective
Η εκστρατεία έχει αποδοθεί σε μια παραγωγική κινεζική ομάδα κυβερνοεγκλήματος γνωστή ως Silver Fox. Αυτή η ομάδα λειτουργεί με πολλά ψευδώνυμα, όπως τα SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 και Void Arachne. Οι ερευνητές ασφαλείας θεωρούν αυτήν την ομάδα μία από τις πιο ενεργές κυβερνοαπειλές τα τελευταία χρόνια, ιδίως λόγω της συνεχούς στόχευσης του διευθυντικού και οικονομικού προσωπικού εντός οργανισμών.
Η Silver Fox χρησιμοποιεί ποικίλους φορείς μόλυνσης, όπως πλατφόρμες ανταλλαγής μηνυμάτων, ηλεκτρονικά μηνύματα ηλεκτρονικού "ψαρέματος" (phishing) και ιστότοπους διανομής πλαστού λογισμικού. Οι στόχοι της ομάδας περιλαμβάνουν τον απομακρυσμένο έλεγχο συστήματος, την κλοπή ευαίσθητων δεδομένων και την οικονομική απάτη.
Εξέλιξη του κακόβουλου λογισμικού: Από το Gh0st RAT στο AtlasCross
Η εμφάνιση του AtlasCross RAT σηματοδοτεί μια σημαντική πρόοδο στην εργαλειοθήκη κακόβουλου λογισμικού της Silver Fox. Οι προηγούμενες λειτουργίες βασίζονταν σε μεγάλο βαθμό σε παραλλαγές που προέρχονταν από το Gh0st RAT, συμπεριλαμβανομένων των ValleyRAT (γνωστό και ως Winos 4.0), Gh0stCringe και HoldingHands RAT (Gh0stBins). Το AtlasCross αντιπροσωπεύει μια πιο εξελιγμένη εξέλιξη, ενσωματώνοντας βελτιωμένους μηχανισμούς stealth, εκτέλεσης και persistence.
Ανάλυση της αλυσίδας μόλυνσης: Από το δόλωμα έως την εκτέλεση
Η αλυσίδα επίθεσης ξεκινά με δόλιες ιστοσελίδες που ξεγελούν τους χρήστες ώστε να κατεβάσουν αρχεία ZIP. Αυτά τα αρχεία περιέχουν προγράμματα εγκατάστασης που αναπτύσσουν τόσο μια νόμιμη εφαρμογή-δόλωμα όσο και ένα δυαδικό αρχείο Autodesk που έχει μολυνθεί με trojan. Το κακόβουλο πρόγραμμα εγκατάστασης εκκινεί έναν φορτωτή κελύφους που αποκρυπτογραφεί μια ενσωματωμένη διαμόρφωση που προέρχεται από το Gh0st RAT.
Αυτή η διαδικασία εξάγει λεπτομέρειες Command-and-Control (C2) και ανακτά ένα ωφέλιμο φορτίο δεύτερου σταδίου από τον τομέα 'bifa668.com' μέσω της θύρας TCP 9899. Το τελικό στάδιο έχει ως αποτέλεσμα την εκτέλεση του AtlasCross RAT στη μνήμη, μειώνοντας σημαντικά την ανίχνευση από τα παραδοσιακά εργαλεία ασφαλείας.
Κακόβουλη Υποδομή: Οπλισμένοι Τομείς
Η καμπάνια καταδεικνύει μια συντονισμένη ρύθμιση υποδομής, με τα περισσότερα κακόβουλα domains να έχουν καταχωρηθεί στις 27 Οκτωβρίου 2025, γεγονός που υποδηλώνει σκόπιμο σχεδιασμό. Επιβεβαιωμένα domains που χρησιμοποιούνται για την παράδοση κακόβουλου λογισμικού περιλαμβάνουν:
app-zoom.com
eyy-eyy.com
kefubao-pc.com
quickq-quickq.com
signal-signal.com
telegrtam.com.cn
trezor-trezor.com
ultraviewer-cn.com
wwtalk-app.com
www-surfshark.com
www-teams.com
Αυτά τα domains μιμούνται σε μεγάλο βαθμό νόμιμες υπηρεσίες, συχνά ενσωματώνοντας ανεπαίσθητες τυπογραφικές παραλλαγές ή περιφερειακά αναγνωριστικά για την αποφυγή υποψιών.
Κατάχρηση εμπιστοσύνης: Κλεμμένα πιστοποιητικά υπογραφής κώδικα
Όλοι οι εντοπισμένοι κακόβουλοι εγκαταστάτες υπογράφονται χρησιμοποιώντας το ίδιο κλεμμένο πιστοποιητικό υπογραφής κώδικα Extended Validation (EV) που εκδόθηκε στην DUC FABULOUS CO., LTD, μια εταιρεία με έδρα το Ανόι του Βιετνάμ. Η επαναχρησιμοποίηση αυτού του πιστοποιητικού σε πολλαπλές άσχετες καμπάνιες κακόβουλου λογισμικού υποδηλώνει ευρεία κυκλοφορία εντός του οικοσυστήματος του κυβερνοεγκλήματος. Αυτή η τακτική ενισχύει την αντιληπτή νομιμότητα των κακόβουλων δυαδικών αρχείων και βοηθά στην παράκαμψη των αμυντικών μηχανισμών ασφαλείας.
Προηγμένες δυνατότητες: Μέσα στο AtlasCross RAT
Το AtlasCross RAT εισάγει ένα ισχυρό σύνολο δυνατοτήτων σχεδιασμένων για μυστικότητα, επιμονή και έλεγχο. Ενσωματώνει το πλαίσιο PowerCell, μια εγγενή μηχανή εκτέλεσης C/C++ PowerShell που ενσωματώνει το .NET Common Language Runtime (CLR) απευθείας στη διαδικασία του κακόβουλου λογισμικού.
Πριν από την εκτέλεση εντολών, το κακόβουλο λογισμικό απενεργοποιεί βασικούς μηχανισμούς ασφαλείας όπως το AMSI, το ETW, τη Λειτουργία Περιορισμένης Γλώσσας και την καταγραφή ScriptBlock. Η επικοινωνία με τους διακομιστές εντολών και ελέγχου κρυπτογραφείται χρησιμοποιώντας το ChaCha20 με τυχαία κλειδιά ανά πακέτο που δημιουργούνται μέσω δημιουργίας τυχαίων αριθμών που βασίζεται στο υλικό.
Βασικές λειτουργίες περιλαμβάνουν:
- Στοχευμένη εισαγωγή DLL στο WeChat
- Παραβίαση περιόδου λειτουργίας πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (RDP)
- Τερματισμός συνδέσεων σε επίπεδο TCP από κινεζικά εργαλεία ασφαλείας όπως τα 360 Safe, Huorong, Kingsoft και QQ PC Manager
- Χειρισμός συστήματος αρχείων και εκτέλεση εντολών shell
- Επιμονή μέσω προγραμματισμένης δημιουργίας εργασιών
Επιχειρησιακή Στρατηγική: Απάτη σε Κλίμακα
Η Silver Fox χρησιμοποιεί μια πολυεπίπεδη στρατηγική domain για να διατηρήσει την αξιοπιστία της και να αποφύγει τον εντοπισμό. Αυτό περιλαμβάνει typosquatting, hijacking domain και χειραγώγηση DNS, συχνά σε συνδυασμό με συμβάσεις ονοματοδοσίας ανά περιοχή για τη μείωση της υποψίας των χρηστών. Η ικανότητα της ομάδας να αναπαράγει πειστικά νόμιμες υπηρεσίες παίζει κρίσιμο ρόλο στην αποτελεσματικότητα της καμπάνιας.
Επέκταση φορέων επίθεσης σε όλη την Ασία
Από τουλάχιστον τον Δεκέμβριο του 2025, η ομάδα έχει επεκτείνει τις δραστηριότητές της σε πολλές χώρες, συμπεριλαμβανομένων της Ιαπωνίας, της Μαλαισίας, των Φιλιππίνων, της Ταϊλάνδης, της Ινδονησίας, της Σιγκαπούρης και της Ινδίας. Οι μέθοδοι επίθεσης έχουν εξελιχθεί με την πάροδο του χρόνου, μεταβαίνοντας από email ηλεκτρονικού "ψαρέματος" (phishing) με κακόβουλα συνημμένα PDF στην κατάχρηση νόμιμων αλλά λανθασμένα διαμορφωμένων εργαλείων απομακρυσμένης παρακολούθησης και διαχείρισης, όπως το SyncFuture TSM.
Οι επόμενες εκστρατείες ανέπτυξαν επίσης ένα πρόγραμμα κλοπής πληροφοριών που βασίζεται σε Python, μεταμφιεσμένο σε εφαρμογή WhatsApp. Προηγούμενη δραστηριότητα τον Ιανουάριο του 2026 αφορούσε δολώματα με θέμα τη φορολογία που στόχευαν Ινδούς χρήστες με κακόβουλο λογισμικό Blackmoon.
Ευέλικτο Οπλοστάσιο: Προσαρμοστικές Επιχειρήσεις Κυβερνοεγκλήματος
Το Silver Fox επιδεικνύει υψηλό βαθμό λειτουργικής ευελιξίας συνδυάζοντας πολλαπλές οικογένειες και τεχνικές κακόβουλου λογισμικού. Η χρήση του ValleyRAT σε συνδυασμό με εργαλεία RMM και προσαρμοσμένα προγράμματα κλοπής που βασίζονται σε Python επιτρέπει την ταχεία προσαρμογή στις αλυσίδες μόλυνσης. Αυτή η ευελιξία υποστηρίζει τόσο ευκαιριακές εκστρατείες μεγάλης κλίμακας όσο και πιο στοχευμένες, στρατηγικές επιθέσεις.
Η ομάδα εφαρμόζει ένα μοντέλο διπλής κατεύθυνσης, εξισορροπώντας εκτεταμένες επιθέσεις με πιο εξελιγμένες λειτουργίες σχεδιασμένες για μακροπρόθεσμη πρόσβαση στο σύστημα και βαθύτερη διείσδυση στο δίκτυο.
Ακρίβεια Spear-Phishing: Στόχευση εταιρικών θυμάτων
Εκτός από τις ευρείες εκστρατείες, η Silver Fox διεξάγει στοχευμένες επιθέσεις spear-phishing που στοχεύουν σε συγκεκριμένους κλάδους, ιδίως σε Ιάπωνες κατασκευαστές. Αυτές οι επιθέσεις χρησιμοποιούν εξαιρετικά πειστικά δολώματα που σχετίζονται με τη φορολογική συμμόρφωση, τις προσαρμογές μισθών, τις αλλαγές θέσεων εργασίας και τα σχέδια ιδιοκτησίας μετοχών των εργαζομένων.
Μόλις αναπτυχθεί, το ValleyRAT επιτρέπει στους εισβολείς να:
- Αποκτήστε πλήρη απομακρυσμένο έλεγχο των μολυσμένων συστημάτων
- Συλλογή ευαίσθητων και οικονομικών δεδομένων
- Παρακολουθήστε τη δραστηριότητα των χρηστών σε πραγματικό χρόνο
- Διατήρηση της σταθερότητας εντός του δικτύου
Αυτό το επίπεδο πρόσβασης επιτρέπει στους απειλητικούς παράγοντες να κλιμακώνουν τις επιθέσεις, να αποσπούν εμπιστευτικές πληροφορίες και να προετοιμάζονται για περαιτέρω στάδια εκμετάλλευσης σε παραβιασμένα περιβάλλοντα.
