AtlasCross आरएटी

एक व्यापक साइबर हमले का अभियान विश्वसनीय सॉफ़्टवेयर ब्रांडों की नकल करने वाले नकली डोमेन के माध्यम से चीनी भाषी उपयोगकर्ताओं को सक्रिय रूप से निशाना बना रहा है। ये भ्रामक वेबसाइटें एटलसक्रॉस आरएटी नामक एक अज्ञात रिमोट एक्सेस ट्रोजन को फैलाने के लिए बनाई गई हैं। यह अभियान वीपीएन क्लाइंट, एन्क्रिप्टेड मैसेजिंग प्लेटफॉर्म, वीडियो कॉन्फ्रेंसिंग टूल, क्रिप्टोकरेंसी ट्रैकर और ई-कॉमर्स सॉफ़्टवेयर सहित व्यापक रूप से उपयोग किए जाने वाले अनुप्रयोगों में उपयोगकर्ताओं के भरोसे का फायदा उठाता है।

इस इन्फ्रास्ट्रक्चर में ग्यारह पुष्ट दुर्भावनापूर्ण डोमेन शामिल हैं जो सर्फशार्क वीपीएन, सिग्नल, टेलीग्राम, ज़ूम और माइक्रोसॉफ्ट टीम्स जैसी प्रसिद्ध सेवाओं का प्रतिरूपण करते हैं। यह रणनीतिक प्रतिरूपण ब्रांड की पहचान का फायदा उठाकर सफल संक्रमण की संभावना को बढ़ाता है।

खतरे के कर्ता का विवरण: सिल्वर फॉक्स कलेक्टिव

इस अभियान का आरोप सिल्वर फॉक्स नामक एक कुख्यात चीनी साइबर अपराध समूह पर लगाया गया है। यह समूह कई उपनामों से सक्रिय है, जिनमें स्विमस्नेक, द ग्रेट थीफ ऑफ वैली (वैली थीफ), यूटीजी-क्यू-1000 और वॉयड अराक्ने शामिल हैं। सुरक्षा शोधकर्ता इस समूह को हाल के वर्षों में सबसे सक्रिय साइबर खतरों में से एक मानते हैं, विशेष रूप से संगठनों के प्रबंधकीय और वित्तीय कर्मियों को लगातार निशाना बनाने के कारण।

सिल्वर फॉक्स संदेश प्लेटफॉर्म, फ़िशिंग ईमेल और नकली सॉफ़्टवेयर वितरण साइटों जैसे विभिन्न संक्रमण माध्यमों का उपयोग करता है। समूह के उद्देश्यों में दूरस्थ सिस्टम नियंत्रण, संवेदनशील डेटा की चोरी और वित्तीय धोखाधड़ी शामिल हैं।

मैलवेयर का विकास: Gh0st RAT से लेकर AtlasCross तक

एटलसक्रॉस आरएटी का उदय सिल्वर फॉक्स के मैलवेयर टूलकिट में एक महत्वपूर्ण प्रगति का प्रतीक है। पहले के ऑपरेशन घोस्ट आरएटी से व्युत्पन्न वेरिएंट पर बहुत अधिक निर्भर थे, जिनमें वैलीआरएटी (जिसे विनोस 4.0 के नाम से भी जाना जाता है), घोस्टक्रिंग और होल्डिंगहैंड्स आरएटी (घोस्टबिन्स) शामिल थे। एटलसक्रॉस एक अधिक परिष्कृत विकास का प्रतिनिधित्व करता है, जिसमें उन्नत गुप्तता, निष्पादन और निरंतरता तंत्र शामिल हैं।

संक्रमण श्रृंखला का विश्लेषण: प्रलोभन से लेकर क्रियान्वयन तक

यह हमला धोखाधड़ी वाली वेबसाइटों से शुरू होता है जो उपयोगकर्ताओं को ज़िप आर्काइव डाउनलोड करने के लिए बहकाती हैं। इन आर्काइव में इंस्टॉलर होते हैं जो एक वैध नकली एप्लिकेशन और एक ट्रोजनयुक्त ऑटोडस्क बाइनरी दोनों को तैनात करते हैं। दुर्भावनापूर्ण इंस्टॉलर एक शेलकोड लोडर शुरू करता है जो Gh0st RAT से प्राप्त एक अंतर्निहित कॉन्फ़िगरेशन को डिक्रिप्ट करता है।

यह प्रक्रिया कमांड-एंड-कंट्रोल (C2) विवरण निकालती है और TCP पोर्ट 9899 पर 'bifa668.com' डोमेन से दूसरे चरण का पेलोड प्राप्त करती है। अंतिम चरण में AtlasCross RAT का इन-मेमोरी निष्पादन होता है, जिससे पारंपरिक सुरक्षा उपकरणों द्वारा इसका पता लगाना काफी हद तक कम हो जाता है।

दुर्भावनापूर्ण अवसंरचना: हथियारबंद डोमेन

यह अभियान एक समन्वित अवसंरचना का प्रदर्शन करता है, जिसमें अधिकांश दुर्भावनापूर्ण डोमेन 27 अक्टूबर, 2025 को पंजीकृत किए गए थे, जो सुनियोजित योजना का संकेत देते हैं। मैलवेयर पहुंचाने के लिए उपयोग किए गए पुष्ट डोमेन में शामिल हैं:

app-zoom.com
eyy-eyy.com
kefubao-pc.com
quickq-quickq.com
signal-signal.com
telegrtam.com.cn
trezor-trezor.com
ultraviewer-cn.com
wwwtalk-app.com
www-surfshark.com
www-teams.com

ये डोमेन वैध सेवाओं की हूबहू नकल करते हैं, और अक्सर संदेह से बचने के लिए सूक्ष्म टाइपोग्राफिकल भिन्नताओं या क्षेत्रीय पहचानकर्ताओं को शामिल करते हैं।

विश्वास का दुरुपयोग: चोरी किए गए कोड-हस्ताक्षर प्रमाणपत्र

पहचाने गए सभी दुर्भावनापूर्ण इंस्टॉलर उसी चोरी किए गए एक्सटेंडेड वैलिडेशन (ईवी) कोड-साइनिंग सर्टिफिकेट का उपयोग करके हस्ताक्षरित हैं, जो वियतनाम के हनोई स्थित कंपनी डीयूसी फैबुलस कंपनी लिमिटेड को जारी किया गया था। कई असंबंधित मैलवेयर अभियानों में इस सर्टिफिकेट का पुन: उपयोग साइबर अपराध जगत में इसके व्यापक प्रसार का संकेत देता है। यह रणनीति दुर्भावनापूर्ण बाइनरी फ़ाइलों की कथित वैधता को बढ़ाती है और सुरक्षा प्रणालियों को भेदने में मदद करती है।

उन्नत क्षमताएं: एटलसक्रॉस आरएटी के अंदर

AtlasCross RAT गुप्त रूप से काम करने, निरंतरता बनाए रखने और नियंत्रण करने के लिए डिज़ाइन की गई शक्तिशाली क्षमताओं का एक समूह प्रस्तुत करता है। यह PowerShell फ्रेमवर्क को एकीकृत करता है, जो एक नेटिव C/C++ PowerShell निष्पादन इंजन है जो .NET कॉमन लैंग्वेज रनटाइम (CLR) को सीधे मैलवेयर प्रक्रिया में एम्बेड करता है।

कमांड निष्पादित करने से पहले, मैलवेयर AMSI, ETW, कंस्ट्रेंड लैंग्वेज मोड और स्क्रिप्टब्लॉक लॉगिंग जैसे प्रमुख सुरक्षा तंत्रों को निष्क्रिय कर देता है। कमांड-एंड-कंट्रोल सर्वरों के साथ संचार हार्डवेयर-आधारित यादृच्छिक संख्या जनरेशन के माध्यम से उत्पन्न प्रति-पैकेट यादृच्छिक कुंजियों का उपयोग करके ChaCha20 एन्क्रिप्टेड होता है।

मुख्य कार्यक्षमताओं में शामिल हैं:

• वीचैट में लक्षित डीएलएल इंजेक्शन
• रिमोट डेस्कटॉप प्रोटोकॉल (आरडीपी) सेशन हाइजैकिंग
• 360 सेफ, हुओरोंग, किंगसॉफ्ट और क्यूक्यू पीसी मैनेजर जैसे चीनी सुरक्षा उपकरणों से कनेक्शन को टीसीपी स्तर पर समाप्त करना
• फ़ाइल सिस्टम में हेरफेर और शेल कमांड निष्पादन
• निर्धारित कार्य निर्माण के माध्यम से निरंतरता

परिचालन रणनीति: बड़े पैमाने पर छल

सिल्वर फॉक्स विश्वसनीयता बनाए रखने और पकड़े जाने से बचने के लिए बहुस्तरीय डोमेन रणनीति का उपयोग करता है। इसमें टाइपोस्क्वेटिंग, डोमेन हाइजैकिंग और डीएनएस में हेरफेर शामिल हैं, जिन्हें अक्सर उपयोगकर्ता के संदेह को कम करने के लिए क्षेत्र-विशिष्ट नामकरण नियमों के साथ जोड़ा जाता है। वैध सेवाओं की हूबहू नकल करने की समूह की क्षमता अभियान की प्रभावशीलता में महत्वपूर्ण भूमिका निभाती है।

एशिया भर में आक्रमण के तरीकों का विस्तार

दिसंबर 2025 से, समूह ने जापान, मलेशिया, फिलीपींस, थाईलैंड, इंडोनेशिया, सिंगापुर और भारत सहित कई देशों में अपने संचालन का विस्तार किया है। समय के साथ हमले के तरीके विकसित हुए हैं, जो दुर्भावनापूर्ण पीडीएफ अटैचमेंट वाले फ़िशिंग ईमेल से लेकर SyncFuture TSM जैसे वैध लेकिन गलत तरीके से कॉन्फ़िगर किए गए रिमोट मॉनिटरिंग और मैनेजमेंट टूल के दुरुपयोग तक पहुँच गए हैं।

बाद के अभियानों में व्हाट्सऐप एप्लिकेशन के रूप में छिपे हुए पायथन-आधारित सूचना चोर का भी उपयोग किया गया है। इससे पहले जनवरी 2026 में ब्लैकमून मैलवेयर के साथ भारतीय उपयोगकर्ताओं को कर संबंधी प्रलोभन दिए गए थे।

लचीला शस्त्रागार: अनुकूली साइबर अपराध संचालन

सिल्वर फॉक्स कई मैलवेयर परिवारों और तकनीकों को मिलाकर उच्च स्तर की परिचालन लचीलता प्रदर्शित करता है। RMM टूल्स और कस्टम पायथन-आधारित स्टीलर के साथ वैलीआरएटी का उपयोग संक्रमण श्रृंखलाओं के तीव्र अनुकूलन को सक्षम बनाता है। यह बहुमुखी प्रतिभा बड़े पैमाने पर अवसरवादी अभियानों और अधिक लक्षित, रणनीतिक हमलों दोनों का समर्थन करती है।

यह समूह दोहरी रणनीति अपनाता है, जिसमें व्यापक हमलों और दीर्घकालिक सिस्टम एक्सेस तथा नेटवर्क में गहरी घुसपैठ के लिए डिज़ाइन किए गए अधिक परिष्कृत अभियानों के बीच संतुलन बनाए रखा जाता है।

स्पीयर-फ़िशिंग की सटीक रणनीति: कॉर्पोरेट पीड़ितों को निशाना बनाना

व्यापक अभियानों के अलावा, सिल्वर फॉक्स विशिष्ट उद्योगों, विशेष रूप से जापानी निर्माताओं को लक्षित करके स्पीयर-फ़िशिंग हमले भी करता है। इन हमलों में कर अनुपालन, वेतन समायोजन, नौकरी परिवर्तन और कर्मचारी शेयर स्वामित्व योजनाओं से संबंधित बेहद विश्वसनीय प्रलोभनों का उपयोग किया जाता है।

एक बार तैनात हो जाने के बाद, ValleyRAT हमलावरों को निम्नलिखित कार्य करने में सक्षम बनाता है:

• संक्रमित प्रणालियों पर पूर्ण रिमोट नियंत्रण प्राप्त करें
• संवेदनशील और वित्तीय डेटा का संग्रहण
• उपयोगकर्ता गतिविधि की वास्तविक समय में निगरानी करें
• नेटवर्क के भीतर निरंतरता बनाए रखें

इस स्तर की पहुंच से हमलावरों को हमलों को तेज करने, गोपनीय जानकारी निकालने और असुरक्षित वातावरण में आगे के शोषण चरणों की तैयारी करने की अनुमति मिलती है।