AtlasCross RAT
Een grootschalige cyberaanval richt zich actief op Chineessprekende gebruikers via typosquatting-domeinen die vertrouwde softwaremerken imiteren. Deze bedrieglijke websites zijn ontworpen om een voorheen ongedocumenteerde remote access trojan, bekend als AtlasCross RAT, te verspreiden. De campagne maakt misbruik van het vertrouwen dat gebruikers hebben in veelgebruikte applicaties, waaronder VPN-clients, versleutelde berichtenplatforms, videoconferentietools, cryptovaluta-trackers en e-commercesoftware.
De infrastructuur omvat elf bevestigde kwaadwillige domeinen die zich voordoen als bekende diensten zoals Surfshark VPN, Signal, Telegram, Zoom en Microsoft Teams. Deze strategische imitatie vergroot de kans op succesvolle infecties door misbruik te maken van de naamsbekendheid.
Inhoudsopgave
Profiel van de dreigingsactor: Het Silver Fox Collectief
De campagne wordt toegeschreven aan een zeer actieve Chinese cybercriminele groep genaamd Silver Fox. Deze groep opereert onder verschillende schuilnamen, waaronder SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 en Void Arachne. Beveiligingsonderzoekers beschouwen deze groep als een van de meest actieve cyberdreigingen van de afgelopen jaren, met name vanwege de aanhoudende aanvallen op management- en financieel personeel binnen organisaties.
Silver Fox maakt gebruik van diverse infectiemethoden, zoals berichtenplatforms, phishing-e-mails en websites voor de verspreiding van namaaksoftware. De doelstellingen van de groep omvatten het op afstand besturen van systemen, het stelen van gevoelige gegevens en financiële fraude.
De evolutie van malware: van Gh0st RAT tot AtlasCross
De opkomst van AtlasCross RAT markeert een aanzienlijke vooruitgang in de malware-toolkit van Silver Fox. Eerdere operaties maakten veelvuldig gebruik van varianten afgeleid van Gh0st RAT, waaronder ValleyRAT (ook bekend als Winos 4.0), Gh0stCringe en HoldingHands RAT (Gh0stBins). AtlasCross vertegenwoordigt een meer geavanceerde evolutie, met verbeterde mechanismen voor stealth, uitvoering en persistentie.
Ontleding van de infectieketen: van lokmiddel tot executie
De aanvalsketen begint met frauduleuze websites die gebruikers ertoe verleiden ZIP-archieven te downloaden. Deze archieven bevatten installatieprogramma's die zowel een legitieme lokapplicatie als een met een trojan besmet Autodesk-bestand installeren. Het kwaadaardige installatieprogramma start een shellcode-loader die een ingebedde configuratie decodeert die afkomstig is van de Gh0st RAT.
Dit proces extraheert Command-and-Control (C2)-gegevens en haalt een payload van de tweede fase op van het domein 'bifa668.com' via TCP-poort 9899. De laatste fase resulteert in de uitvoering van AtlasCross RAT in het geheugen, waardoor detectie door traditionele beveiligingstools aanzienlijk wordt verminderd.
Kwaadaardige infrastructuur: domeinen die als wapen worden ingezet
De campagne toont een gecoördineerde infrastructuur aan, waarbij de meeste kwaadwillende domeinen op 27 oktober 2025 zijn geregistreerd, wat wijst op een weloverwogen planning. Bevestigde domeinen die gebruikt zijn voor de verspreiding van malware zijn onder andere:
app-zoom.com
eyy-eyy.com
kefubao-pc.com
quickq-quickq.com
signal-signal.com
telegrtam.com.cn
trezor-trezor.com
ultraviewer-cn.com
wwtalk-app.com
www-surfshark.com
www-teams.com
Deze domeinen bootsen legitieme diensten nauwkeurig na en bevatten vaak subtiele typografische variaties of regionale aanduidingen om argwaan te vermijden.
Misbruik van vertrouwen: Gestolen codeondertekeningscertificaten
Alle geïdentificeerde kwaadaardige installatieprogramma's zijn ondertekend met hetzelfde gestolen Extended Validation (EV) code-ondertekeningscertificaat dat is uitgegeven aan DUC FABULOUS CO., LTD, een bedrijf gevestigd in Hanoi, Vietnam. Het hergebruik van dit certificaat in meerdere, niet-gerelateerde malwarecampagnes wijst op een wijdverspreide circulatie binnen het cybercriminele ecosysteem. Deze tactiek vergroot de schijnbare legitimiteit van de kwaadaardige binaire bestanden en helpt beveiligingsmaatregelen te omzeilen.
Geavanceerde mogelijkheden: Een kijkje in AtlasCross RAT
AtlasCross RAT introduceert een krachtige set mogelijkheden die zijn ontworpen voor onzichtbaarheid, persistentie en controle. Het integreert het PowerShell-framework, een native C/C++ PowerShell-uitvoeringsengine die de .NET Common Language Runtime (CLR) rechtstreeks in het malwareproces inbedt.
Voordat de malware commando's uitvoert, schakelt deze belangrijke beveiligingsmechanismen uit, zoals AMSI, ETW, Constrained Language Mode en ScriptBlock-logging. De communicatie met command-and-control-servers wordt versleuteld met ChaCha20, waarbij per pakket willekeurige sleutels worden gegenereerd via hardwarematige random number generation.
De belangrijkste functionaliteiten zijn onder meer:
- Gerichte DLL-injectie in WeChat
- Sessiekaping via Remote Desktop Protocol (RDP)
- TCP-beëindiging van verbindingen van Chinese beveiligingsprogramma's zoals 360 Safe, Huorong, Kingsoft en QQ PC Manager
- Manipulatie van het bestandssysteem en uitvoering van shellopdrachten
- Volharding door het aanmaken van geplande taken
Operationele strategie: Misleiding op grote schaal
Silver Fox hanteert een gelaagde domeinstrategie om geloofwaardigheid te behouden en detectie te ontwijken. Dit omvat typosquatting, domeinkaping en DNS-manipulatie, vaak gecombineerd met regiospecifieke naamgevingsconventies om argwaan bij gebruikers te verminderen. Het vermogen van de groep om legitieme diensten overtuigend na te bootsen speelt een cruciale rol in de effectiviteit van de campagne.
Uitbreiding van aanvalsvectoren in Azië
Sinds ten minste december 2025 heeft de groep haar activiteiten uitgebreid naar meerdere landen, waaronder Japan, Maleisië, de Filipijnen, Thailand, Indonesië, Singapore en India. De aanvalsmethoden zijn in de loop der tijd geëvolueerd, van phishing-e-mails met schadelijke PDF-bijlagen naar misbruik van legitieme, maar verkeerd geconfigureerde tools voor monitoring en beheer op afstand, zoals SyncFuture TSM.
Latere campagnes hebben ook een op Python gebaseerde informatiediefstaltool ingezet, vermomd als een WhatsApp-applicatie. Eerdere activiteiten in januari 2026 betroffen lokmiddelen met een belastingthema die gericht waren op Indiase gebruikers met Blackmoon-malware.
Flexibel arsenaal: Adaptieve cybercriminaliteitsoperaties
Silver Fox demonstreert een hoge mate van operationele flexibiliteit door meerdere malwarefamilies en -technieken te combineren. Het gebruik van ValleyRAT in combinatie met RMM-tools en op maat gemaakte, op Python gebaseerde stealers maakt snelle aanpassing van infectieketens mogelijk. Deze veelzijdigheid ondersteunt zowel grootschalige opportunistische campagnes als meer gerichte, strategische aanvallen.
De groep hanteert een tweeledig model, waarbij grootschalige aanvallen worden afgewisseld met meer geavanceerde operaties die gericht zijn op langdurige toegang tot systemen en diepere netwerkinfiltratie.
Spear-phishing met precisie: Bedrijfsslachtoffers als doelwit
Naast grootschalige campagnes voert Silver Fox ook gerichte spear-phishingaanvallen uit, specifiek gericht op bepaalde sectoren, met name Japanse fabrikanten. Bij deze aanvallen worden zeer overtuigende lokmiddelen gebruikt die te maken hebben met belastingaangiften, salarisverhogingen, baanwisselingen en aandelenparticipatieplannen voor werknemers.
Eenmaal geïnstalleerd, stelt ValleyRAT aanvallers in staat om:
- Verkrijg volledige controle op afstand over geïnfecteerde systemen.
- Verzamel gevoelige en financiële gegevens.
- Volg de gebruikersactiviteit in realtime.
- Behoud persistentie binnen het netwerk
Dit toegangsniveau stelt cybercriminelen in staat om aanvallen te escaleren, vertrouwelijke informatie te stelen en zich voor te bereiden op verdere exploitatiestappen binnen gecompromitteerde omgevingen.
