AtlasCross RAT

ਇੱਕ ਵੱਡੇ ਪੱਧਰ 'ਤੇ ਸਾਈਬਰ ਹਮਲੇ ਦੀ ਮੁਹਿੰਮ ਚੀਨੀ ਬੋਲਣ ਵਾਲੇ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਟਾਈਪੋਸਕੈਟਡ ਡੋਮੇਨਾਂ ਰਾਹੀਂ ਸਰਗਰਮੀ ਨਾਲ ਨਿਸ਼ਾਨਾ ਬਣਾ ਰਹੀ ਹੈ ਜੋ ਭਰੋਸੇਯੋਗ ਸਾਫਟਵੇਅਰ ਬ੍ਰਾਂਡਾਂ ਦੀ ਨਕਲ ਕਰਦੇ ਹਨ। ਇਹ ਧੋਖੇਬਾਜ਼ ਵੈੱਬਸਾਈਟਾਂ ਐਟਲਸਕ੍ਰਾਸ RAT ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਪਹਿਲਾਂ ਤੋਂ ਗੈਰ-ਦਸਤਾਵੇਜ਼ੀ ਰਿਮੋਟ ਐਕਸੈਸ ਟ੍ਰੋਜਨ ਨੂੰ ਵੰਡਣ ਲਈ ਤਿਆਰ ਕੀਤੀਆਂ ਗਈਆਂ ਹਨ। ਇਹ ਮੁਹਿੰਮ VPN ਕਲਾਇੰਟਸ, ਐਨਕ੍ਰਿਪਟਡ ਮੈਸੇਜਿੰਗ ਪਲੇਟਫਾਰਮ, ਵੀਡੀਓ ਕਾਨਫਰੰਸਿੰਗ ਟੂਲ, ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਟਰੈਕਰ ਅਤੇ ਈ-ਕਾਮਰਸ ਸੌਫਟਵੇਅਰ ਸਮੇਤ ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਵਰਤੀਆਂ ਜਾਣ ਵਾਲੀਆਂ ਐਪਲੀਕੇਸ਼ਨਾਂ ਵਿੱਚ ਉਪਭੋਗਤਾਵਾਂ ਦੇ ਵਿਸ਼ਵਾਸ ਦਾ ਲਾਭ ਉਠਾਉਂਦੀ ਹੈ।

ਇਸ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਵਿੱਚ ਗਿਆਰਾਂ ਪੁਸ਼ਟੀ ਕੀਤੇ ਖਤਰਨਾਕ ਡੋਮੇਨ ਸ਼ਾਮਲ ਹਨ ਜੋ ਸਰਫਸ਼ਾਰਕ VPN, ਸਿਗਨਲ, ਟੈਲੀਗ੍ਰਾਮ, ਜ਼ੂਮ, ਅਤੇ ਮਾਈਕ੍ਰੋਸਾਫਟ ਟੀਮਾਂ ਵਰਗੀਆਂ ਜਾਣੀਆਂ-ਪਛਾਣੀਆਂ ਸੇਵਾਵਾਂ ਦੀ ਨਕਲ ਕਰਦੇ ਹਨ। ਇਹ ਰਣਨੀਤਕ ਨਕਲ ਬ੍ਰਾਂਡ ਦੀ ਜਾਣ-ਪਛਾਣ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਕੇ ਸਫਲ ਲਾਗਾਂ ਦੀ ਸੰਭਾਵਨਾ ਨੂੰ ਵਧਾਉਂਦੀ ਹੈ।

ਧਮਕੀ ਅਦਾਕਾਰ ਦੀ ਪ੍ਰੋਫਾਈਲ: ਦ ਸਿਲਵਰ ਫੌਕਸ ਕਲੈਕਟਿਵ

ਇਸ ਮੁਹਿੰਮ ਦਾ ਸਿਹਰਾ ਸਿਲਵਰ ਫੌਕਸ ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਇੱਕ ਪ੍ਰਮੁੱਖ ਚੀਨੀ ਸਾਈਬਰ ਅਪਰਾਧ ਸਮੂਹ ਨੂੰ ਦਿੱਤਾ ਗਿਆ ਹੈ। ਇਹ ਸਮੂਹ ਕਈ ਉਪਨਾਮਾਂ ਹੇਠ ਕੰਮ ਕਰਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਸਵਿਮਸਨੈਕ, ਦ ਗ੍ਰੇਟ ਥੀਫ ਆਫ਼ ਵੈਲੀ (ਵੈਲੀ ਥੀਫ), ਯੂਟੀਜੀ-ਕਿਊ-1000, ਅਤੇ ਵੋਇਡ ਅਰਾਚਨੇ ਸ਼ਾਮਲ ਹਨ। ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾ ਇਸ ਸਮੂਹ ਨੂੰ ਹਾਲ ਹੀ ਦੇ ਸਾਲਾਂ ਵਿੱਚ ਸਭ ਤੋਂ ਵੱਧ ਸਰਗਰਮ ਸਾਈਬਰ ਖਤਰਿਆਂ ਵਿੱਚੋਂ ਇੱਕ ਮੰਨਦੇ ਹਨ, ਖਾਸ ਕਰਕੇ ਸੰਗਠਨਾਂ ਦੇ ਅੰਦਰ ਪ੍ਰਬੰਧਕੀ ਅਤੇ ਵਿੱਤੀ ਕਰਮਚਾਰੀਆਂ ਨੂੰ ਲਗਾਤਾਰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਦੇ ਕਾਰਨ।

ਸਿਲਵਰ ਫੌਕਸ ਮੈਸੇਜਿੰਗ ਪਲੇਟਫਾਰਮ, ਫਿਸ਼ਿੰਗ ਈਮੇਲ, ਅਤੇ ਨਕਲੀ ਸੌਫਟਵੇਅਰ ਵੰਡ ਸਾਈਟਾਂ ਵਰਗੇ ਵਿਭਿੰਨ ਇਨਫੈਕਸ਼ਨ ਵੈਕਟਰਾਂ ਨੂੰ ਨਿਯੁਕਤ ਕਰਦਾ ਹੈ। ਸਮੂਹ ਦੇ ਉਦੇਸ਼ਾਂ ਵਿੱਚ ਰਿਮੋਟ ਸਿਸਟਮ ਕੰਟਰੋਲ, ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਅਤੇ ਵਿੱਤੀ ਧੋਖਾਧੜੀ ਸ਼ਾਮਲ ਹਨ।

ਮਾਲਵੇਅਰ ਦਾ ਵਿਕਾਸ: Gh0st RAT ਤੋਂ AtlasCross ਤੱਕ

AtlasCross RAT ਦਾ ਉਭਾਰ ਸਿਲਵਰ ਫੌਕਸ ਦੇ ਮਾਲਵੇਅਰ ਟੂਲਕਿੱਟ ਵਿੱਚ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਤਰੱਕੀ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ। ਪਹਿਲਾਂ ਦੇ ਓਪਰੇਸ਼ਨ Gh0st RAT ਤੋਂ ਪ੍ਰਾਪਤ ਰੂਪਾਂ 'ਤੇ ਬਹੁਤ ਜ਼ਿਆਦਾ ਨਿਰਭਰ ਕਰਦੇ ਸਨ, ਜਿਸ ਵਿੱਚ ValleyRAT (ਜਿਸਨੂੰ Winos 4.0 ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ), Gh0stCringe, ਅਤੇ HoldingHands RAT (Gh0stBins) ਸ਼ਾਮਲ ਹਨ। AtlasCross ਇੱਕ ਵਧੇਰੇ ਸੂਝਵਾਨ ਵਿਕਾਸ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਵਧੇ ਹੋਏ ਸਟੀਲਥ, ਐਗਜ਼ੀਕਿਊਸ਼ਨ, ਅਤੇ ਸਥਿਰਤਾ ਵਿਧੀਆਂ ਸ਼ਾਮਲ ਹਨ।

ਇਨਫੈਕਸ਼ਨ ਚੇਨ ਟੁੱਟਣਾ: ਲਾਲਚ ਤੋਂ ਫਾਂਸੀ ਤੱਕ

ਹਮਲੇ ਦੀ ਲੜੀ ਧੋਖਾਧੜੀ ਵਾਲੀਆਂ ਵੈੱਬਸਾਈਟਾਂ ਤੋਂ ਸ਼ੁਰੂ ਹੁੰਦੀ ਹੈ ਜੋ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ZIP ਪੁਰਾਲੇਖਾਂ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਲਈ ਧੋਖਾ ਦਿੰਦੀਆਂ ਹਨ। ਇਹਨਾਂ ਪੁਰਾਲੇਖਾਂ ਵਿੱਚ ਇੰਸਟੌਲਰ ਹੁੰਦੇ ਹਨ ਜੋ ਇੱਕ ਜਾਇਜ਼ ਡੀਕੋਏ ਐਪਲੀਕੇਸ਼ਨ ਅਤੇ ਇੱਕ ਟ੍ਰੋਜਨਾਈਜ਼ਡ ਆਟੋਡੈਸਕ ਬਾਈਨਰੀ ਦੋਵਾਂ ਨੂੰ ਤੈਨਾਤ ਕਰਦੇ ਹਨ। ਖਤਰਨਾਕ ਇੰਸਟੌਲਰ ਇੱਕ ਸ਼ੈੱਲਕੋਡ ਲੋਡਰ ਸ਼ੁਰੂ ਕਰਦਾ ਹੈ ਜੋ Gh0st RAT ਤੋਂ ਪ੍ਰਾਪਤ ਇੱਕ ਏਮਬੈਡਡ ਸੰਰਚਨਾ ਨੂੰ ਡੀਕ੍ਰਿਪਟ ਕਰਦਾ ਹੈ।

ਇਹ ਪ੍ਰਕਿਰਿਆ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਵੇਰਵਿਆਂ ਨੂੰ ਐਕਸਟਰੈਕਟ ਕਰਦੀ ਹੈ ਅਤੇ TCP ਪੋਰਟ 9899 ਉੱਤੇ 'bifa668.com' ਡੋਮੇਨ ਤੋਂ ਦੂਜੇ-ਪੜਾਅ ਦੇ ਪੇਲੋਡ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਦੀ ਹੈ। ਅੰਤਮ ਪੜਾਅ ਦੇ ਨਤੀਜੇ ਵਜੋਂ AtlasCross RAT ਦਾ ਇਨ-ਮੈਮੋਰੀ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਹੁੰਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਰਵਾਇਤੀ ਸੁਰੱਖਿਆ ਸਾਧਨਾਂ ਦੁਆਰਾ ਖੋਜ ਨੂੰ ਕਾਫ਼ੀ ਘਟਾਇਆ ਜਾਂਦਾ ਹੈ।

ਖ਼ਰਾਬ ਬੁਨਿਆਦੀ ਢਾਂਚਾ: ਹਥਿਆਰਬੰਦ ਡੋਮੇਨ

ਇਹ ਮੁਹਿੰਮ ਇੱਕ ਤਾਲਮੇਲ ਵਾਲੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੇ ਸੈੱਟਅੱਪ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ, ਜਿਸ ਵਿੱਚ ਜ਼ਿਆਦਾਤਰ ਖਤਰਨਾਕ ਡੋਮੇਨ 27 ਅਕਤੂਬਰ, 2025 ਨੂੰ ਰਜਿਸਟਰ ਕੀਤੇ ਗਏ ਸਨ, ਜੋ ਜਾਣਬੁੱਝ ਕੇ ਯੋਜਨਾਬੰਦੀ ਨੂੰ ਦਰਸਾਉਂਦੇ ਹਨ। ਮਾਲਵੇਅਰ ਡਿਲੀਵਰੀ ਲਈ ਵਰਤੇ ਗਏ ਪੁਸ਼ਟੀ ਕੀਤੇ ਡੋਮੇਨਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

ਐਪ-ਜ਼ੂਮ.ਕਾੱਮ
eyy-eyy.com ਵੱਲੋਂ ਹੋਰ
kefubao-pc.com ਵੱਲੋਂ ਹੋਰ
ਕੁਇੱਕਕਿਊ-ਕੁਇੱਕਕਿਊ.ਕਾੱਮ
ਸਿਗਨਲ-ਸਿਗਨਲ.ਕਾੱਮ
ਟੈਲੀਗ੍ਰਾਮ.ਕਾੱਮ.ਸੀ.ਐਨ.
trezor-trezor.com ਵੱਲੋਂ ਹੋਰ
ultraviewer-cn.com ਵੱਲੋਂ ਹੋਰ
wwtalk-app.com ਵੱਲੋਂ ਹੋਰ
www-surfshark.com
www-teams.com

ਇਹ ਡੋਮੇਨ ਜਾਇਜ਼ ਸੇਵਾਵਾਂ ਦੀ ਨੇੜਿਓਂ ਨਕਲ ਕਰਦੇ ਹਨ, ਅਕਸਰ ਸ਼ੱਕ ਤੋਂ ਬਚਣ ਲਈ ਸੂਖਮ ਟਾਈਪੋਗ੍ਰਾਫਿਕਲ ਭਿੰਨਤਾਵਾਂ ਜਾਂ ਖੇਤਰੀ ਪਛਾਣਕਰਤਾਵਾਂ ਨੂੰ ਸ਼ਾਮਲ ਕਰਦੇ ਹਨ।

ਭਰੋਸੇ ਦੀ ਦੁਰਵਰਤੋਂ: ਚੋਰੀ ਹੋਏ ਕੋਡ-ਸਾਈਨਿੰਗ ਸਰਟੀਫਿਕੇਟ

ਸਾਰੇ ਪਛਾਣੇ ਗਏ ਖਤਰਨਾਕ ਇੰਸਟਾਲਰਾਂ 'ਤੇ ਦਸਤਖਤ ਉਸੇ ਚੋਰੀ ਕੀਤੇ ਐਕਸਟੈਂਡਡ ਵੈਲੀਡੇਸ਼ਨ (EV) ਕੋਡ-ਸਾਈਨਿੰਗ ਸਰਟੀਫਿਕੇਟ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਕੀਤੇ ਗਏ ਹਨ ਜੋ DUC FABULOUS CO., LTD, ਜੋ ਕਿ ਹਨੋਈ, ਵੀਅਤਨਾਮ ਵਿੱਚ ਸਥਿਤ ਇੱਕ ਕੰਪਨੀ ਹੈ, ਨੂੰ ਜਾਰੀ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਸ ਸਰਟੀਫਿਕੇਟ ਦੀ ਕਈ ਗੈਰ-ਸੰਬੰਧਿਤ ਮਾਲਵੇਅਰ ਮੁਹਿੰਮਾਂ ਵਿੱਚ ਮੁੜ ਵਰਤੋਂ ਸਾਈਬਰ ਅਪਰਾਧਿਕ ਈਕੋਸਿਸਟਮ ਦੇ ਅੰਦਰ ਵਿਆਪਕ ਸਰਕੂਲੇਸ਼ਨ ਦਾ ਸੁਝਾਅ ਦਿੰਦੀ ਹੈ। ਇਹ ਰਣਨੀਤੀ ਖਤਰਨਾਕ ਬਾਈਨਰੀਆਂ ਦੀ ਸਮਝੀ ਗਈ ਜਾਇਜ਼ਤਾ ਨੂੰ ਵਧਾਉਂਦੀ ਹੈ ਅਤੇ ਸੁਰੱਖਿਆ ਬਚਾਅ ਪੱਖਾਂ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨ ਵਿੱਚ ਮਦਦ ਕਰਦੀ ਹੈ।

ਉੱਨਤ ਸਮਰੱਥਾਵਾਂ: ਐਟਲਸਕ੍ਰਾਸ RAT ਦੇ ਅੰਦਰ

AtlasCross RAT ਸਟੀਲਥ, ਸਥਿਰਤਾ ਅਤੇ ਨਿਯੰਤਰਣ ਲਈ ਤਿਆਰ ਕੀਤੀਆਂ ਗਈਆਂ ਸਮਰੱਥਾਵਾਂ ਦਾ ਇੱਕ ਸ਼ਕਤੀਸ਼ਾਲੀ ਸਮੂਹ ਪੇਸ਼ ਕਰਦਾ ਹੈ। ਇਹ PowerChell ਫਰੇਮਵਰਕ ਨੂੰ ਏਕੀਕ੍ਰਿਤ ਕਰਦਾ ਹੈ, ਇੱਕ ਮੂਲ C/C++ PowerShell ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਇੰਜਣ ਜੋ .NET ਕਾਮਨ ਲੈਂਗੂਏਜ ਰਨਟਾਈਮ (CLR) ਨੂੰ ਸਿੱਧੇ ਮਾਲਵੇਅਰ ਪ੍ਰਕਿਰਿਆ ਵਿੱਚ ਸ਼ਾਮਲ ਕਰਦਾ ਹੈ।

ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣ ਤੋਂ ਪਹਿਲਾਂ, ਮਾਲਵੇਅਰ AMSI, ETW, ਸੀਮਤ ਭਾਸ਼ਾ ਮੋਡ, ਅਤੇ ਸਕ੍ਰਿਪਟਬਲਾਕ ਲੌਗਿੰਗ ਵਰਗੇ ਮੁੱਖ ਸੁਰੱਖਿਆ ਵਿਧੀਆਂ ਨੂੰ ਅਯੋਗ ਕਰ ਦਿੰਦਾ ਹੈ। ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ ਸਰਵਰਾਂ ਨਾਲ ਸੰਚਾਰ ਨੂੰ ChaCha20 ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਐਨਕ੍ਰਿਪਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਜਿਸ ਵਿੱਚ ਹਾਰਡਵੇਅਰ-ਅਧਾਰਤ ਰੈਂਡਮ ਨੰਬਰ ਜਨਰੇਸ਼ਨ ਦੁਆਰਾ ਤਿਆਰ ਕੀਤੇ ਗਏ ਪ੍ਰਤੀ-ਪੈਕੇਟ ਰੈਂਡਮ ਕੁੰਜੀਆਂ ਹਨ।

ਮੁੱਖ ਕਾਰਜਸ਼ੀਲਤਾਵਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• WeChat ਵਿੱਚ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ DLL ਟੀਕਾ
• ਰਿਮੋਟ ਡੈਸਕਟੌਪ ਪ੍ਰੋਟੋਕੋਲ (RDP) ਸੈਸ਼ਨ ਹਾਈਜੈਕਿੰਗ
• 360 ਸੇਫ਼, ਹੁਓਰੋਂਗ, ਕਿੰਗਸਾਫਟ, ਅਤੇ ਕਿਊਕਿਊ ਪੀਸੀ ਮੈਨੇਜਰ ਵਰਗੇ ਚੀਨੀ ਸੁਰੱਖਿਆ ਸਾਧਨਾਂ ਤੋਂ ਕਨੈਕਸ਼ਨਾਂ ਦੀ ਟੀਸੀਪੀ-ਪੱਧਰ ਦੀ ਸਮਾਪਤੀ।
• ਫਾਈਲ ਸਿਸਟਮ ਹੇਰਾਫੇਰੀ ਅਤੇ ਸ਼ੈੱਲ ਕਮਾਂਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ
• ਤਹਿ ਕੀਤੇ ਕਾਰਜ ਸਿਰਜਣ ਦੁਆਰਾ ਦ੍ਰਿੜਤਾ

ਕਾਰਜਸ਼ੀਲ ਰਣਨੀਤੀ: ਪੈਮਾਨੇ 'ਤੇ ਧੋਖਾ

ਸਿਲਵਰ ਫੌਕਸ ਭਰੋਸੇਯੋਗਤਾ ਬਣਾਈ ਰੱਖਣ ਅਤੇ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਇੱਕ ਬਹੁ-ਪੱਧਰੀ ਡੋਮੇਨ ਰਣਨੀਤੀ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਇਸ ਵਿੱਚ ਟਾਈਪੋਸਕੈਟਿੰਗ, ਡੋਮੇਨ ਹਾਈਜੈਕਿੰਗ, ਅਤੇ DNS ਹੇਰਾਫੇਰੀ ਸ਼ਾਮਲ ਹੈ, ਜੋ ਅਕਸਰ ਉਪਭੋਗਤਾ ਸ਼ੱਕ ਨੂੰ ਘਟਾਉਣ ਲਈ ਖੇਤਰ-ਵਿਸ਼ੇਸ਼ ਨਾਮਕਰਨ ਪਰੰਪਰਾਵਾਂ ਨਾਲ ਜੋੜਿਆ ਜਾਂਦਾ ਹੈ। ਸਮੂਹ ਦੀ ਜਾਇਜ਼ ਸੇਵਾਵਾਂ ਨੂੰ ਯਕੀਨਨ ਦੁਹਰਾਉਣ ਦੀ ਯੋਗਤਾ ਮੁਹਿੰਮ ਦੀ ਪ੍ਰਭਾਵਸ਼ੀਲਤਾ ਵਿੱਚ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਭੂਮਿਕਾ ਨਿਭਾਉਂਦੀ ਹੈ।

ਏਸ਼ੀਆ ਭਰ ਵਿੱਚ ਹਮਲੇ ਦੇ ਵੈਕਟਰਾਂ ਦਾ ਵਿਸਥਾਰ

ਘੱਟੋ-ਘੱਟ ਦਸੰਬਰ 2025 ਤੋਂ, ਸਮੂਹ ਨੇ ਜਾਪਾਨ, ਮਲੇਸ਼ੀਆ, ਫਿਲੀਪੀਨਜ਼, ਥਾਈਲੈਂਡ, ਇੰਡੋਨੇਸ਼ੀਆ, ਸਿੰਗਾਪੁਰ ਅਤੇ ਭਾਰਤ ਸਮੇਤ ਕਈ ਦੇਸ਼ਾਂ ਵਿੱਚ ਆਪਣੇ ਕਾਰਜਾਂ ਦਾ ਵਿਸਤਾਰ ਕੀਤਾ ਹੈ। ਸਮੇਂ ਦੇ ਨਾਲ ਹਮਲੇ ਦੇ ਤਰੀਕੇ ਵਿਕਸਤ ਹੋਏ ਹਨ, ਖਤਰਨਾਕ PDF ਅਟੈਚਮੈਂਟਾਂ ਵਾਲੀਆਂ ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਤੋਂ ਲੈ ਕੇ ਜਾਇਜ਼ ਪਰ ਗਲਤ ਸੰਰਚਿਤ ਰਿਮੋਟ ਨਿਗਰਾਨੀ ਅਤੇ ਪ੍ਰਬੰਧਨ ਸਾਧਨਾਂ ਜਿਵੇਂ ਕਿ ਸਿੰਕਫਿਊਚਰ TSM ਦੀ ਦੁਰਵਰਤੋਂ ਤੱਕ।

ਬਾਅਦ ਦੀਆਂ ਮੁਹਿੰਮਾਂ ਨੇ ਇੱਕ ਪਾਈਥਨ-ਅਧਾਰਤ ਜਾਣਕਾਰੀ ਚੋਰੀ ਕਰਨ ਵਾਲੇ ਨੂੰ ਵੀ WhatsApp ਐਪਲੀਕੇਸ਼ਨ ਦੇ ਭੇਸ ਵਿੱਚ ਤਾਇਨਾਤ ਕੀਤਾ ਹੈ। ਜਨਵਰੀ 2026 ਵਿੱਚ ਪਹਿਲਾਂ ਦੀ ਗਤੀਵਿਧੀ ਵਿੱਚ ਬਲੈਕਮੂਨ ਮਾਲਵੇਅਰ ਨਾਲ ਭਾਰਤੀ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੇ ਟੈਕਸ-ਥੀਮ ਵਾਲੇ ਲਾਲਚ ਸ਼ਾਮਲ ਸਨ।

ਲਚਕਦਾਰ ਆਰਸਨਲ: ਅਨੁਕੂਲ ਸਾਈਬਰ ਕ੍ਰਾਈਮ ਓਪਰੇਸ਼ਨ

ਸਿਲਵਰ ਫੌਕਸ ਕਈ ਮਾਲਵੇਅਰ ਪਰਿਵਾਰਾਂ ਅਤੇ ਤਕਨੀਕਾਂ ਨੂੰ ਜੋੜ ਕੇ ਉੱਚ ਪੱਧਰੀ ਕਾਰਜਸ਼ੀਲ ਲਚਕਤਾ ਦਾ ਪ੍ਰਦਰਸ਼ਨ ਕਰਦਾ ਹੈ। RMM ਟੂਲਸ ਅਤੇ ਕਸਟਮ ਪਾਈਥਨ-ਅਧਾਰਿਤ ਸਟੀਲਰਾਂ ਦੇ ਨਾਲ ValleyRAT ਦੀ ਵਰਤੋਂ ਇਨਫੈਕਸ਼ਨ ਚੇਨਾਂ ਦੇ ਤੇਜ਼ੀ ਨਾਲ ਅਨੁਕੂਲਨ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦੀ ਹੈ। ਇਹ ਬਹੁਪੱਖੀਤਾ ਵੱਡੇ ਪੱਧਰ 'ਤੇ ਮੌਕਾਪ੍ਰਸਤ ਮੁਹਿੰਮਾਂ ਅਤੇ ਵਧੇਰੇ ਨਿਸ਼ਾਨਾਬੱਧ, ਰਣਨੀਤਕ ਹਮਲਿਆਂ ਦੋਵਾਂ ਦਾ ਸਮਰਥਨ ਕਰਦੀ ਹੈ।

ਇਹ ਸਮੂਹ ਇੱਕ ਦੋਹਰਾ-ਟਰੈਕ ਮਾਡਲ ਚਲਾਉਂਦਾ ਹੈ, ਜੋ ਲੰਬੇ ਸਮੇਂ ਦੇ ਸਿਸਟਮ ਪਹੁੰਚ ਅਤੇ ਡੂੰਘੇ ਨੈੱਟਵਰਕ ਘੁਸਪੈਠ ਲਈ ਤਿਆਰ ਕੀਤੇ ਗਏ ਵਧੇਰੇ ਸੂਝਵਾਨ ਕਾਰਜਾਂ ਨਾਲ ਵਿਆਪਕ ਹਮਲਿਆਂ ਨੂੰ ਸੰਤੁਲਿਤ ਕਰਦਾ ਹੈ।

ਸਪੀਅਰ-ਫਿਸ਼ਿੰਗ ਸ਼ੁੱਧਤਾ: ਕਾਰਪੋਰੇਟ ਪੀੜਤਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣਾ

ਵਿਆਪਕ ਮੁਹਿੰਮਾਂ ਤੋਂ ਇਲਾਵਾ, ਸਿਲਵਰ ਫੌਕਸ ਖਾਸ ਉਦਯੋਗਾਂ, ਖਾਸ ਕਰਕੇ ਜਾਪਾਨੀ ਨਿਰਮਾਤਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾ ਕੇ ਸਪੀਅਰ-ਫਿਸ਼ਿੰਗ ਹਮਲੇ ਕਰਦਾ ਹੈ। ਇਹ ਹਮਲੇ ਟੈਕਸ ਪਾਲਣਾ, ਤਨਖਾਹ ਸਮਾਯੋਜਨ, ਨੌਕਰੀ ਵਿੱਚ ਤਬਦੀਲੀਆਂ, ਅਤੇ ਕਰਮਚਾਰੀ ਸਟਾਕ ਮਾਲਕੀ ਯੋਜਨਾਵਾਂ ਨਾਲ ਸਬੰਧਤ ਬਹੁਤ ਹੀ ਭਰੋਸੇਮੰਦ ਲਾਲਚਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ।

ਇੱਕ ਵਾਰ ਤਾਇਨਾਤ ਹੋਣ ਤੋਂ ਬਾਅਦ, ValleyRAT ਹਮਲਾਵਰਾਂ ਨੂੰ ਇਹ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ:

• ਸੰਕਰਮਿਤ ਸਿਸਟਮਾਂ ਦਾ ਪੂਰਾ ਰਿਮੋਟ ਕੰਟਰੋਲ ਪ੍ਰਾਪਤ ਕਰੋ
• ਸੰਵੇਦਨਸ਼ੀਲ ਅਤੇ ਵਿੱਤੀ ਡੇਟਾ ਇਕੱਠਾ ਕਰੋ
• ਰੀਅਲ ਟਾਈਮ ਵਿੱਚ ਉਪਭੋਗਤਾ ਗਤੀਵਿਧੀ ਦੀ ਨਿਗਰਾਨੀ ਕਰੋ
• ਨੈੱਟਵਰਕ ਦੇ ਅੰਦਰ ਸਥਿਰਤਾ ਬਣਾਈ ਰੱਖੋ

ਇਸ ਪੱਧਰ ਦੀ ਪਹੁੰਚ ਧਮਕੀ ਦੇਣ ਵਾਲਿਆਂ ਨੂੰ ਹਮਲਿਆਂ ਨੂੰ ਵਧਾਉਣ, ਗੁਪਤ ਜਾਣਕਾਰੀ ਨੂੰ ਬਾਹਰ ਕੱਢਣ, ਅਤੇ ਸਮਝੌਤਾ ਕੀਤੇ ਵਾਤਾਵਰਣ ਦੇ ਅੰਦਰ ਹੋਰ ਸ਼ੋਸ਼ਣ ਪੜਾਵਾਂ ਲਈ ਤਿਆਰੀ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ।