AtlasCross RAT

Una vasta campagna di attacchi informatici sta prendendo di mira attivamente gli utenti di lingua cinese attraverso domini typosquat che imitano marchi di software affidabili. Questi siti web ingannevoli sono progettati per distribuire un trojan di accesso remoto precedentemente sconosciuto, noto come AtlasCross RAT. La campagna sfrutta la fiducia degli utenti in applicazioni di largo utilizzo, tra cui client VPN, piattaforme di messaggistica crittografata, strumenti di videoconferenza, tracker di criptovalute e software di e-commerce.

L'infrastruttura comprende undici domini dannosi confermati che impersonano servizi noti come Surfshark VPN, Signal, Telegram, Zoom e Microsoft Teams. Questa impersonificazione strategica aumenta la probabilità di infezioni riuscite sfruttando la familiarità del marchio.

Profilo degli attori della minaccia: Il collettivo Silver Fox

La campagna è stata attribuita a un prolifico gruppo di criminali informatici cinesi noto come Silver Fox. Questo gruppo opera con diversi pseudonimi, tra cui SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 e Void Arachne. I ricercatori nel campo della sicurezza considerano questo gruppo una delle minacce informatiche più attive degli ultimi anni, soprattutto per la sua persistenza nel prendere di mira il personale dirigenziale e finanziario all'interno delle organizzazioni.

Silver Fox utilizza diversi vettori di infezione, come piattaforme di messaggistica, email di phishing e siti di distribuzione di software contraffatto. Gli obiettivi del gruppo includono il controllo remoto dei sistemi, l'esfiltrazione di dati sensibili e le frodi finanziarie.

Evoluzione del malware: da Gh0st RAT ad AtlasCross

L'emergere di AtlasCross RAT segna un significativo passo avanti nel toolkit malware di Silver Fox. Le operazioni precedenti si basavano in gran parte su varianti derivate da Gh0st RAT, tra cui ValleyRAT (anche noto come Winos 4.0), Gh0stCringe e HoldingHands RAT (Gh0stBins). AtlasCross rappresenta un'evoluzione più sofisticata, che incorpora meccanismi di occultamento, esecuzione e persistenza migliorati.

Analisi della catena di infezione: dall'esca all'esecuzione

La catena di attacco inizia con siti web fraudolenti che inducono gli utenti a scaricare archivi ZIP. Questi archivi contengono programmi di installazione che distribuiscono sia un'applicazione esca legittima sia un file binario Autodesk infetto da trojan. Il programma di installazione dannoso avvia un caricatore di shellcode che decifra una configurazione incorporata derivata dal RAT Gh0st.

Questo processo estrae i dettagli di Comando e Controllo (C2) e recupera un payload di secondo stadio dal dominio 'bifa668.com' sulla porta TCP 9899. La fase finale si conclude con l'esecuzione in memoria di AtlasCross RAT, riducendo significativamente il rilevamento da parte dei tradizionali strumenti di sicurezza.

Infrastruttura dannosa: domini trasformati in armi

La campagna dimostra una configurazione infrastrutturale coordinata, con la maggior parte dei domini dannosi registrati il 27 ottobre 2025, il che indica una pianificazione deliberata. I domini confermati utilizzati per la distribuzione del malware includono:

app-zoom.com
eyy-eyy.com
kefubao-pc.com
quickq-quickq.com
signal-signal.com
telegrtam.com.cn
trezor-trezor.com
ultraviewer-cn.com
wwtalk-app.com
www-surfshark.com
www-teams.com

Questi domini imitano fedelmente servizi legittimi, spesso incorporando sottili variazioni tipografiche o identificatori regionali per non destare sospetti.

Abuso di fiducia: furto di certificati di firma del codice

Tutti gli installer dannosi identificati sono firmati utilizzando lo stesso certificato di firma del codice Extended Validation (EV) rubato, rilasciato a DUC FABULOUS CO., LTD, una società con sede ad Hanoi, in Vietnam. Il riutilizzo di questo certificato in diverse campagne malware non correlate suggerisce una sua ampia diffusione all'interno dell'ecosistema della criminalità informatica. Questa tattica aumenta la percezione di legittimità dei file binari dannosi e contribuisce a eludere le difese di sicurezza.

Funzionalità avanzate: all'interno di AtlasCross RAT

AtlasCross RAT introduce una potente serie di funzionalità progettate per la furtività, la persistenza e il controllo. Integra il framework PowerShell, un motore di esecuzione nativo C/C++ PowerShell che incorpora il Common Language Runtime (CLR) .NET direttamente nel processo del malware.

Prima di eseguire i comandi, il malware disabilita i principali meccanismi di sicurezza come AMSI, ETW, Constrained Language Mode e la registrazione di ScriptBlock. La comunicazione con i server di comando e controllo è crittografata utilizzando ChaCha20 con chiavi casuali per pacchetto generate tramite un generatore di numeri casuali basato su hardware.

Le funzionalità principali includono:

• Iniezione mirata di DLL in WeChat
• Dirottamento della sessione Remote Desktop Protocol (RDP)
• Terminazione a livello TCP delle connessioni provenienti da strumenti di sicurezza cinesi come 360 Safe, Huorong, Kingsoft e QQ PC Manager.
• Manipolazione del file system ed esecuzione di comandi shell.
• Persistenza attraverso la creazione di attività programmate

Strategia operativa: l'inganno su vasta scala

Silver Fox impiega una strategia di dominio a più livelli per mantenere la credibilità ed eludere il rilevamento. Questa strategia include typosquatting, dirottamento di domini e manipolazione DNS, spesso combinati con convenzioni di denominazione specifiche per regione al fine di ridurre i sospetti degli utenti. La capacità del gruppo di replicare in modo convincente servizi legittimi gioca un ruolo cruciale nell'efficacia della campagna.

Espansione delle vie di attacco in tutta l'Asia

Almeno dal dicembre 2025, il gruppo ha esteso le proprie attività a diversi paesi, tra cui Giappone, Malesia, Filippine, Thailandia, Indonesia, Singapore e India. I metodi di attacco si sono evoluti nel tempo, passando dalle email di phishing con allegati PDF dannosi all'abuso di strumenti di monitoraggio e gestione remota legittimi ma mal configurati, come SyncFuture TSM.

Le campagne successive hanno anche utilizzato un programma per il furto di informazioni basato su Python, camuffato da applicazione WhatsApp. Un'attività precedente, risalente a gennaio 2026, ha coinvolto esche a tema fiscale rivolte agli utenti indiani con il malware Blackmoon.

Arsenale flessibile: operazioni adattive contro la criminalità informatica

Silver Fox dimostra un elevato grado di flessibilità operativa combinando diverse famiglie e tecniche di malware. L'utilizzo di ValleyRAT insieme a strumenti RMM e stealer personalizzati basati su Python consente un rapido adattamento delle catene di infezione. Questa versatilità supporta sia campagne opportunistiche su larga scala che attacchi più mirati e strategici.

Il gruppo adotta un modello a doppio binario, bilanciando attacchi su larga scala con operazioni più sofisticate progettate per l'accesso a lungo termine ai sistemi e una più profonda infiltrazione nella rete.

Precisione nel spear-phishing: colpire le vittime aziendali

Oltre alle campagne su larga scala, Silver Fox conduce attacchi di spear-phishing mirati a settori specifici, in particolare alle aziende manifatturiere giapponesi. Questi attacchi utilizzano esche molto convincenti relative alla conformità fiscale, agli adeguamenti salariali, ai cambi di lavoro e ai piani di azionariato per i dipendenti.

Una volta implementato, ValleyRAT consente agli aggressori di:

• Ottieni il pieno controllo remoto dei sistemi infetti
• Raccolta di dati sensibili e finanziari
• Monitora l'attività degli utenti in tempo reale
• Mantenere la persistenza all'interno della rete

Questo livello di accesso consente agli autori delle minacce di intensificare gli attacchi, esfiltrare informazioni riservate e prepararsi per ulteriori fasi di sfruttamento all'interno degli ambienti compromessi.