AtlasCross RAT

대규모 사이버 공격 캠페인이 유명 소프트웨어 브랜드를 사칭한 도메인을 이용해 중국어 사용자를 적극적으로 표적으로 삼고 있습니다. 이러한 사기성 웹사이트는 이전에 알려지지 않았던 원격 접속 트로이목마(RAT)인 AtlasCross를 배포하도록 설계되었습니다. 이 캠페인은 VPN 클라이언트, 암호화 메시징 플랫폼, 화상 회의 도구, 암호화폐 추적 도구, 전자상거래 소프트웨어 등 널리 사용되는 애플리케이션에 대한 사용자들의 신뢰를 악용하고 있습니다.

해당 인프라에는 Surfshark VPN, Signal, Telegram, Zoom, Microsoft Teams와 같은 유명 서비스를 사칭하는 11개의 악성 도메인이 포함되어 있습니다. 이러한 전략적인 사칭은 브랜드 인지도를 악용하여 감염 성공 가능성을 높입니다.

위협 행위자 프로필: 실버 폭스 콜렉티브

이번 공격은 '실버 폭스(Silver Fox)'라는 악명 높은 중국 사이버 범죄 조직의 소행으로 추정됩니다. 이 조직은 '스윔스네이크(SwimSnake)', '밸리 시프(Valley Thief)', 'UTG-Q-1000', '보이드 아라크네(Void Arachne)' 등 여러 가명을 사용하고 있습니다. 보안 연구원들은 이 조직이 최근 몇 년간 가장 활발한 사이버 위협 중 하나라고 보고 있으며, 특히 기업 내 경영진 및 재무 담당자를 지속적으로 표적으로 삼는다는 점에서 주목하고 있습니다.

실버 폭스(Silver Fox)는 메시징 플랫폼, 피싱 이메일, 위조 소프트웨어 배포 사이트 등 다양한 감염 경로를 이용합니다. 이 그룹의 목표는 원격 시스템 제어, 중요 데이터 유출, 금융 사기 등입니다.

악성 소프트웨어의 진화: Gh0st RAT부터 AtlasCross까지

AtlasCross RAT의 등장은 Silver Fox의 악성코드 툴킷에 있어 중요한 진전을 의미합니다. 이전의 공격은 ValleyRAT(Winos 4.0으로도 알려짐), Gh0stCringe, HoldingHands RAT(Gh0stBins) 등 Gh0st RAT에서 파생된 변종들을 주로 사용했습니다. AtlasCross는 향상된 은밀성, 실행 및 지속성 메커니즘을 통합한 더욱 정교한 진화형 악성코드입니다.

감염 사슬 분석: 유인부터 실행까지

이 공격은 사용자를 속여 ZIP 압축 파일을 다운로드하도록 유도하는 사기성 웹사이트에서 시작됩니다. 이러한 압축 파일에는 합법적인 위장 애플리케이션과 트로이 목마가 포함된 Autodesk 바이너리를 설치하는 설치 프로그램이 들어 있습니다. 악성 설치 프로그램은 Gh0st RAT에서 파생된 내장 구성 파일을 복호화하는 셸코드 로더를 실행합니다.

이 프로세스는 명령 및 제어(C2) 정보를 추출하고 TCP 포트 9899를 통해 'bifa668.com' 도메인에서 2단계 페이로드를 가져옵니다. 최종 단계에서는 AtlasCross RAT가 메모리에서 실행되어 기존 보안 도구에 의한 탐지가 크게 줄어듭니다.

악성 인프라: 무기화된 도메인

이번 캠페인은 조직적인 인프라 구축을 보여주며, 대부분의 악성 도메인이 2025년 10월 27일에 등록된 것은 의도적인 계획이었음을 시사합니다. 악성코드 유포에 사용된 것으로 확인된 도메인은 다음과 같습니다.

앱줌닷컴
eyy-eyy.com
케푸바오-pc.com
퀵큐-퀵큐닷컴
시그널-시그널닷컴
텔레그르탐닷컴.cn
트레조르-트레조르닷컴
울트라뷰어-cn.com
wwtalk-app.com
www-surfshark.com
www-teams.com

이러한 도메인들은 합법적인 서비스를 매우 유사하게 모방하며, 의심을 피하기 위해 미묘한 오타 변형이나 지역 식별자를 포함하는 경우가 많습니다.

신뢰 악용: 코드 서명 인증서 도난

확인된 모든 악성 설치 프로그램은 베트남 하노이에 위치한 DUC FABULOUS CO., LTD라는 회사에 발급된 도난당한 확장 검증(EV) 코드 서명 인증서를 사용하여 서명되었습니다. 여러 관련 없는 악성 프로그램 캠페인에서 이 인증서가 재사용된 것은 사이버 범죄 생태계 내에서 광범위하게 유포되고 있음을 시사합니다. 이러한 전략은 악성 바이너리의 합법성을 높여 보안 방어를 우회하는 데 도움이 됩니다.

고급 기능: AtlasCross RAT 내부

AtlasCross RAT는 은밀성, 지속성 및 제어를 위해 설계된 강력한 기능 세트를 제공합니다. 이 악성 프로그램은 .NET 공용 언어 런타임(CLR)을 악성 프로그램 프로세스에 직접 내장하는 네이티브 C/C++ PowerShell 실행 엔진인 PowerChell 프레임워크를 통합합니다.

악성 프로그램은 명령을 실행하기 전에 AMSI, ETW, 제한된 언어 모드, 스크립트 블록 로깅과 같은 주요 보안 메커니즘을 비활성화합니다. 명령 및 제어 서버와의 통신은 하드웨어 기반 난수 생성기를 통해 생성된 패킷별 임의 키를 사용하는 ChaCha20 암호화 방식으로 이루어집니다.

주요 기능은 다음과 같습니다.

• 위챗에 대한 DLL 주입 공격
• 원격 데스크톱 프로토콜(RDP) 세션 하이재킹
• 360 Safe, Huorong, Kingsoft, QQ PC Manager와 같은 중국 보안 도구에서 TCP 레벨 연결을 종료하는 행위
• 파일 시스템 조작 및 셸 명령 실행
• 예약된 작업 생성을 통한 지속성

작전 전략: 대규모 기만

실버 폭스는 신뢰도를 유지하고 탐지를 피하기 위해 다층적인 도메인 전략을 사용합니다. 여기에는 타이포스쿼팅, 도메인 하이재킹, DNS 조작이 포함되며, 사용자의 의심을 줄이기 위해 지역별 명명 규칙을 함께 사용하는 경우도 많습니다. 합법적인 서비스를 그럴듯하게 모방하는 능력은 이 캠페인의 효과에 매우 중요한 역할을 합니다.

아시아 전역으로 공격 경로 확대

적어도 2025년 12월부터 이 그룹은 일본, 말레이시아, 필리핀, 태국, 인도네시아, 싱가포르, 인도 등 여러 국가로 활동 영역을 확장해 왔습니다. 공격 방식은 시간이 지남에 따라 진화하여 악성 PDF 첨부 파일이 포함된 피싱 이메일에서 SyncFuture TSM과 같이 합법적이지만 잘못 구성된 원격 모니터링 및 관리 도구를 악용하는 방식으로 바뀌었습니다.

이후 캠페인에서는 WhatsApp 애플리케이션으로 위장한 Python 기반 정보 탈취 악성 프로그램도 사용되었습니다. 2026년 1월에는 인도 사용자를 대상으로 세금 관련 미끼를 이용한 Blackmoon 악성 프로그램이 공격에 가담한 바 있습니다.

유연한 무기고: 적응형 사이버범죄 작전

Silver Fox는 여러 멀웨어 계열과 기법을 결합하여 높은 수준의 운영 유연성을 보여줍니다. ValleyRAT을 RMM 도구 및 맞춤형 Python 기반 스틸러와 함께 사용함으로써 감염 경로를 신속하게 조정할 수 있습니다. 이러한 다재다능함은 대규모 기회주의적 공격 캠페인과 보다 표적화된 전략적 공격 모두에 효과적입니다.

이 그룹은 광범위한 공격과 장기적인 시스템 접근 및 심층적인 네트워크 침투를 위해 설계된 더욱 정교한 작전을 병행하는 이중 전략을 구사합니다.

스피어피싱의 정밀도: 기업을 표적으로 삼다

실버 폭스는 광범위한 캠페인 외에도 특정 산업, 특히 일본 제조업체를 대상으로 하는 표적 스피어 피싱 공격을 수행합니다. 이러한 공격은 세금 준수, 급여 조정, 직무 변경 및 직원 주식 소유 계획과 관련된 매우 설득력 있는 미끼를 사용합니다.

ValleyRAT이 배포되면 공격자는 다음과 같은 작업을 수행할 수 있습니다.

• 감염된 시스템을 원격으로 완벽하게 제어하세요
• 민감한 데이터와 재무 데이터를 수집하세요
• 사용자 활동을 실시간으로 모니터링하세요
• 네트워크 내에서 지속성을 유지합니다.

이러한 수준의 접근 권한을 통해 위협 행위자는 공격을 확대하고, 기밀 정보를 유출하며, 침해된 환경 내에서 추가적인 공격 단계를 준비할 수 있습니다.