Rabatttilbud for flere lisenser
Trusseldatabase Skadelig programvare AtlasCross RATTE

AtlasCross RATTE

Med Mezo i Skadelig programvare, Advanced Persistent Threat (APT), Fjernadministrasjonsverktøy
Oversett til:

En storstilt cyberangrepskampanje retter seg aktivt mot kinesisktalende brukere gjennom typosquattede domener som imiterer pålitelige programvaremerker. Disse villedende nettstedene er utformet for å distribuere en tidligere udokumentert fjerntilgangstrojaner kjent som AtlasCross RAT. Kampanjen utnytter brukertillit i mye brukte applikasjoner, inkludert VPN-klienter, krypterte meldingsplattformer, videokonferanseverktøy, kryptovalutasporere og e-handelsprogramvare.

Infrastrukturen inkluderer elleve bekreftede ondsinnede domener som utgir seg for å være kjente tjenester som Surfshark VPN, Signal, Telegram, Zoom og Microsoft Teams. Denne strategiske imitasjonen øker sannsynligheten for vellykkede infeksjoner ved å utnytte merkevarekjennskap.

Trusselaktørprofil: Silver Fox-kollektivet

Kampanjen har blitt tilskrevet en produktiv kinesisk nettkriminalitetsgruppe kjent som Silver Fox. Denne gruppen opererer under flere alias, inkludert SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 og Void Arachne. Sikkerhetsforskere anser denne gruppen som en av de mest aktive cybertruslene de siste årene, spesielt på grunn av dens vedvarende målretting av ledere og økonomiansatte i organisasjoner.

Silver Fox benytter seg av diverse infeksjonsvektorer som meldingsplattformer, phishing-e-poster og nettsteder for distribusjon av forfalsket programvare. Gruppens mål inkluderer fjernkontroll av systemer, utvinning av sensitive data og økonomisk svindel.

Utviklingen av skadelig programvare: Fra Gh0st RAT til AtlasCross

Fremveksten av AtlasCross RAT markerer et betydelig fremskritt i Silver Fox' verktøysett for skadelig programvare. Tidligere operasjoner var i stor grad avhengige av varianter avledet fra Gh0st RAT, inkludert ValleyRAT (også kjent som Winos 4.0), Gh0stCringe og HoldingHands RAT (Gh0stBins). AtlasCross representerer en mer sofistikert utvikling, som inkluderer forbedrede stealth-, utførelses- og persistensmekanismer.

Oppdeling av smittekjeden: Fra lokkemiddel til henrettelse

Angrepskjeden starter med svindelnettsteder som lurer brukere til å laste ned ZIP-arkiver. Disse arkivene inneholder installasjonsprogrammer som distribuerer både et legitimt lokkeprogram og en trojanerisert Autodesk-binærfil. Det ondsinnede installasjonsprogrammet starter en skallkodelaster som dekrypterer en innebygd konfigurasjon avledet fra Gh0st RAT.

Denne prosessen trekker ut kommando-og-kontroll (C2)-detaljer og henter en nyttelast fra andre trinn fra domenet «bifa668.com» over TCP-port 9899. Det siste trinnet resulterer i kjøring av AtlasCross RAT i minnet, noe som reduserer deteksjon av tradisjonelle sikkerhetsverktøy betydelig.

Ondsinnet infrastruktur: Våpnede domener

Kampanjen demonstrerer et koordinert infrastrukturoppsett, med de fleste ondsinnede domenene registrert 27. oktober 2025, noe som indikerer bevisst planlegging. Bekreftede domener som brukes til levering av skadelig programvare inkluderer:

app-zoom.com
eyy-eyy.com
kefubao-pc.com
quickq-quickq.com
signal-signal.com
telegrtam.com.cn
trezor-trezor.com
ultraviewer-cn.com
wwtalk-app.com
www-surfshark.com
www-teams.com

Disse domenene etterligner legitime tjenester tett, og inkluderer ofte subtile typografiske variasjoner eller regionale identifikatorer for å unngå mistanke.

Tillitsmisbruk: Stjålne kodesigneringssertifikater

Alle identifiserte ondsinnede installatører er signert med det samme stjålne Extended Validation (EV)-kodesigneringssertifikatet som er utstedt til DUC FABULOUS CO., LTD, et selskap basert i Hanoi, Vietnam. Gjenbruk av dette sertifikatet på tvers av flere urelaterte skadevarekampanjer tyder på utbredt sirkulasjon innenfor det nettkriminelle økosystemet. Denne taktikken forsterker den oppfattede legitimiteten til ondsinnede binærfiler og bidrar til å omgå sikkerhetsforsvar.

Avanserte funksjoner: Inne i AtlasCross RAT

AtlasCross RAT introduserer et kraftig sett med funksjoner designet for stealth, utholdenhet og kontroll. Det integrerer PowerChell-rammeverket, en innebygd C/C++ PowerShell-kjøringsmotor som bygger inn .NET Common Language Runtime (CLR) direkte i skadevareprosessen.

Før kommandoer utføres, deaktiverer skadevaren viktige sikkerhetsmekanismer som AMSI, ETW, begrenset språkmodus og ScriptBlock-logging. Kommunikasjon med kommando- og kontrollservere krypteres ved hjelp av ChaCha20 med tilfeldige nøkler per pakke generert via maskinvarebasert tilfeldig tallgenerering.

Viktige funksjoner inkluderer:

  • Målrettet DLL-injeksjon i WeChat
  • Kapring av RDP-økt (Remote Desktop Protocol)
  • Avslutning av tilkoblinger på TCP-nivå fra kinesiske sikkerhetsverktøy som 360 Safe, Huorong, Kingsoft og QQ PC Manager
  • Manipulering av filsystemer og utførelse av skallkommandoer
  • Persistens gjennom planlagt oppgaveoppretting

Operasjonell strategi: Bedrag i stor skala

Silver Fox benytter en flerlags domenestrategi for å opprettholde troverdighet og unngå oppdagelse. Dette inkluderer typosquatting, domenekapring og DNS-manipulasjon, ofte kombinert med regionspesifikke navnekonvensjoner for å redusere brukermistinksomhet. Gruppens evne til å overbevisende gjenskape legitime tjenester spiller en avgjørende rolle i kampanjens effektivitet.

Utvidelse av angrepsvektorer over hele Asia

Siden minst desember 2025 har gruppen utvidet virksomheten sin til flere land, inkludert Japan, Malaysia, Filippinene, Thailand, Indonesia, Singapore og India. Angrepsmetodene har utviklet seg over tid, og har gått fra phishing-e-poster med ondsinnede PDF-vedlegg til misbruk av legitime, men feilkonfigurerte verktøy for fjernovervåking og administrasjon, som SyncFuture TSM.

Senere kampanjer har også tatt i bruk en Python-basert informasjonstyver forkledd som en WhatsApp-applikasjon. Tidligere aktivitet i januar 2026 involverte skatterelaterte lokkemidler rettet mot indiske brukere med Blackmoon-skadevare.

Fleksibelt arsenal: Adaptive nettkriminalitetsoperasjoner

Silver Fox demonstrerer en høy grad av operasjonell fleksibilitet ved å kombinere flere malware-familier og teknikker. Bruken av ValleyRAT sammen med RMM-verktøy og tilpassede Python-baserte stealers muliggjør rask tilpasning av infeksjonskjeder. Denne allsidigheten støtter både store opportunistiske kampanjer og mer målrettede, strategiske angrep.

Gruppen opererer en tosporsmodell, som balanserer omfattende angrep med mer sofistikerte operasjoner designet for langsiktig systemtilgang og dypere nettverksinfiltrasjon.

Spear-Phishing Precision: Målretting mot bedriftsofre

I tillegg til brede kampanjer gjennomfører Silver Fox målrettede spear-phishing-angrep rettet mot spesifikke bransjer, spesielt japanske produsenter. Disse angrepene bruker svært overbevisende lokkemidler knyttet til skatteoverholdelse, lønnsjusteringer, jobbendringer og aksjeplaner for ansatte.

Når ValleyRAT er distribuert, kan angripere:

  • Få full fjernkontroll over infiserte systemer
  • Innhenting av sensitive og økonomiske data
  • Overvåk brukeraktivitet i sanntid
  • Oppretthold utholdenhet i nettverket

Dette tilgangsnivået lar trusselaktører eskalere angrep, tvangsutnytte konfidensiell informasjon og forberede seg på ytterligere utnyttelsesfaser i kompromitterte miljøer.

Trender

Mest sett

Laster inn...