AtlasCross RAT
Laajamittainen kyberhyökkäyskampanja kohdistuu aktiivisesti kiinankielisiin käyttäjiin kirjoitusvirheellisten verkkotunnusten kautta, jotka jäljittelevät luotettavia ohjelmistobrändejä. Nämä harhaanjohtavat verkkosivustot on suunniteltu levittämään aiemmin dokumentoimatonta etäkäyttötroijalaista, joka tunnetaan nimellä AtlasCross RAT. Kampanja hyödyntää käyttäjien luottamusta laajalti käytettyihin sovelluksiin, kuten VPN-asiakkaisiin, salattuihin viestintäalustoihin, videoneuvottelutyökaluihin, kryptovaluuttojen seurantaohjelmiin ja verkkokauppaohjelmistoihin.
Infrastruktuuriin kuuluu yksitoista vahvistettua haitallista verkkotunnusta, jotka tekeytyvät tunnetuiksi palveluiksi, kuten Surfshark VPN, Signal, Telegram, Zoom ja Microsoft Teams. Tämä strateginen tekeytyminen lisää onnistuneiden tartuntojen todennäköisyyttä hyödyntämällä brändin tunnettuutta.
Sisällysluettelo
Uhkatoimijan profiili: The Silver Fox Collective
Kampanjan on sanottu olevan tuottelias kiinalainen kyberrikollisryhmä nimeltä Silver Fox. Ryhmä toimii useilla salanimillä, kuten SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 ja Void Arachne. Tietoturvatutkijat pitävät tätä ryhmää yhtenä aktiivisimmista kyberuhista viime vuosina, erityisesti siksi, että se kohdistaa jatkuvasti hyökkäyksiään organisaatioiden johto- ja taloushenkilöstöön.
Silver Fox käyttää erilaisia tartuntavektoreita, kuten viestintäalustoja, tietojenkalasteluviestejä ja väärennettyjen ohjelmistojen jakelusivustoja. Ryhmän tavoitteisiin kuuluvat järjestelmän etähallinta, arkaluonteisten tietojen vuotaminen ja taloudelliset petokset.
Haittaohjelmien kehitys: Gh0st RATista AtlasCrossiin
AtlasCross RATin esiinmarssi on merkittävä edistysaskel Silver Foxin haittaohjelmatyökalupakissa. Aiemmat toiminnot perustuivat vahvasti Gh0st RATista johdettuihin variantteihin, kuten ValleyRATiin (tunnetaan myös nimellä Winos 4.0), Gh0stCringeen ja HoldingHands RATiin (Gh0stBins). AtlasCross edustaa kehittyneempää kehitysaskelta, joka sisältää parannettuja hiiviskely-, suoritus- ja pysyvyysmekanismeja.
Tartuntaketjun erittely: houkutuksesta toteutukseen
Hyökkäysketju alkaa huijaussivustoilla, jotka huijaavat käyttäjiä lataamaan ZIP-arkistoja. Nämä arkistot sisältävät asennusohjelmia, jotka asentavat sekä laillisen houkutussovelluksen että troijalaisen saastuttaman Autodeskin binääritiedoston. Haitallinen asennusohjelma käynnistää komentokoodin lataajan, joka purkaa Gh0st RAT -haavoittuvuudesta johdetun upotetun kokoonpanon salauksen.
Tämä prosessi poimii komento- ja ohjaustiedot (C2) ja hakee toisen vaiheen hyötykuorman verkkotunnuksesta 'bifa668.com' TCP-portin 9899 kautta. Viimeinen vaihe johtaa AtlasCross RAT:n suorittamiseen muistissa, mikä vähentää merkittävästi perinteisten tietoturvatyökalujen havaitsemista.
Haitallinen infrastruktuuri: Aseistetut verkkotunnukset
Kampanja osoittaa koordinoidun infrastruktuurin olemassaolon, ja useimmat haitalliset verkkotunnukset rekisteröitiin 27. lokakuuta 2025, mikä viittaa harkittuun suunnitteluun. Haittaohjelmien toimittamiseen käytettyjä vahvistettuja verkkotunnuksia ovat:
app-zoom.com
eyy-eyy.com
kefubao-pc.com
quickq-quickq.com
signaali-signaali.com
telegrtam.com.cn
trezor-trezor.com
ultraviewer-cn.com
wwtalk-app.com
www-surfshark.com
www-teams.com
Nämä verkkotunnukset matkivat tarkasti laillisia palveluita ja sisältävät usein hienovaraisia typografisia muunnelmia tai alueellisia tunnisteita epäilysten välttämiseksi.
Luottamuksen väärinkäyttö: Varastetut koodin allekirjoitusvarmenteet
Kaikki tunnistetut haitalliset asennusohjelmat on allekirjoitettu samalla varastetulla laajennetun validoinnin (EV) koodin allekirjoitusvarmenteella, joka on myönnetty Hanoissa, Vietnamissa sijaitsevalle DUC FABULOUS CO., LTD:lle. Varmenteen uudelleenkäyttö useissa toisiinsa liittymättömissä haittaohjelmakampanjoissa viittaa sen laajaan leviämiseen kyberrikollisuuden ekosysteemissä. Tämä taktiikka vahvistaa haitallisten binäärien havaittua oikeellisuutta ja auttaa ohittamaan tietoturvamekanismeja.
Edistyneet ominaisuudet: AtlasCross RATin sisällä
AtlasCross RAT tarjoaa tehokkaan joukon ominaisuuksia, jotka on suunniteltu piilotusta, pysyvyyttä ja hallintaa varten. Se integroi PowerChell-kehyksen, natiivin C/C++ PowerShell -suoritusmoottorin, joka upottaa .NET Common Language Runtimen (CLR) suoraan haittaohjelmaprosessiin.
Ennen komentojen suorittamista haittaohjelma poistaa käytöstä keskeiset suojausmekanismit, kuten AMSI:n, ETW:n, rajoitetun kielitilan ja ScriptBlock-lokikirjauksen. Viestintä komento- ja ohjauspalvelimien kanssa salataan ChaCha20-salauksella, jossa pakettikohtaiset satunnaiset avaimet luodaan laitteistopohjaisen satunnaislukugeneroinnin avulla.
Keskeisimpiä toimintoja ovat:
- Kohdennettu DLL-injektio WeChatiin
- Etätyöpöytäprotokollan (RDP) istunnon kaappaaminen
- Kiinalaisten tietoturvatyökalujen, kuten 360 Safen, Huorongin, Kingsoftin ja QQ PC Managerin, yhteyksien TCP-tason katkaisu
- Tiedostojärjestelmän manipulointi ja komentotulkkikomentojen suorittaminen
- Pysyvyys ajoitetun tehtävien luomisen kautta
Operatiivinen strategia: Laajamittainen petos
Silver Fox käyttää monikerroksista verkkotunnusstrategiaa uskottavuuden säilyttämiseksi ja paljastumisen välttämiseksi. Tähän sisältyy typosquatting, verkkotunnusten kaappaaminen ja DNS-manipulointi, usein yhdistettynä aluekohtaisiin nimeämiskäytäntöihin käyttäjien epäilysten vähentämiseksi. Ryhmän kyky replikoida vakuuttavasti laillisia palveluita on ratkaisevassa roolissa kampanjan tehokkuudessa.
Laajenevat hyökkäysvektorit Aasiassa
Ainakin joulukuusta 2025 lähtien ryhmä on laajentanut toimintaansa useisiin maihin, mukaan lukien Japani, Malesia, Filippiinit, Thaimaa, Indonesia, Singapore ja Intia. Hyökkäysmenetelmät ovat kehittyneet ajan myötä siirtyen haitallisia PDF-liitteitä sisältävistä tietojenkalasteluviesteistä laillisten mutta väärin määritettyjen etävalvonta- ja hallintatyökalujen, kuten SyncFuture TSM:n, väärinkäyttöön.
Myöhemmissä kampanjoissa on myös käytetty Python-pohjaista tiedonvarastajaa, joka on naamioitu WhatsApp-sovellukseksi. Aiempi toiminta tammikuussa 2026 sisälsi veroaiheisia houkutuksia, jotka kohdistettiin intialaisiin käyttäjiin Blackmoon-haittaohjelmalla.
Joustava arsenaali: Sopeutuvat kyberrikollisuusoperaatiot
Silver Fox osoittaa suurta operatiivista joustavuutta yhdistämällä useita haittaohjelmaperheitä ja -tekniikoita. ValleyRATin käyttö RMM-työkalujen ja mukautettujen Python-pohjaisten varastajien rinnalla mahdollistaa tartuntaketjujen nopean mukauttamisen. Tämä monipuolisuus tukee sekä laaja-alaisia opportunistisia kampanjoita että kohdennetumpia, strategisia hyökkäyksiä.
Ryhmä käyttää kaksitahoista mallia, jossa se tasapainottelee laajalle levinneitä hyökkäyksiä kehittyneempiin operaatioihin, jotka on suunniteltu pitkäaikaiseen järjestelmään pääsyyn ja syvemmälle verkkoon tunkeutumiseen.
Keihästietojenkalastelu Tarkkuus: Yritysten uhrien kohdistaminen
Laajojen kampanjoiden lisäksi Silver Fox suorittaa kohdennettuja tietojenkalasteluhyökkäyksiä, jotka on suunnattu tietyille toimialoille, erityisesti japanilaisille valmistajille. Näissä hyökkäyksissä käytetään erittäin vakuuttavia houkuttimia, jotka liittyvät verojen noudattamiseen, palkankorotuksiin, työpaikan vaihdoksiin ja työntekijöiden osakeomistussuunnitelmiin.
Käyttöönoton jälkeen ValleyRAT mahdollistaa hyökkääjien:
- Hanki tartunnan saaneiden järjestelmien täysi etähallinta
- Kerää arkaluonteisia ja taloudellisia tietoja
- Seuraa käyttäjien toimintaa reaaliajassa
- Säilytä pysyvyys verkossa
Tämän tason käyttöoikeudet antavat uhkatoimijoille mahdollisuuden laajentaa hyökkäyksiä, vuotaa luottamuksellisia tietoja ja valmistautua jatkohyökkäyksiin vaarantuneissa ympäristöissä.
