AtlasCross RAT
Zakrojona na szeroką skalę kampania cyberataków jest aktywnie wymierzona w użytkowników chińskojęzycznych za pośrednictwem domen typu typosquatting, które imitują zaufane marki oprogramowania. Te oszukańcze strony internetowe mają na celu dystrybucję wcześniej nieudokumentowanego trojana zdalnego dostępu znanego jako AtlasCross RAT. Kampania wykorzystuje zaufanie użytkowników do powszechnie używanych aplikacji, w tym klientów VPN, platform szyfrowanych wiadomości, narzędzi do wideokonferencji, trackerów kryptowalut i oprogramowania e-commerce.
Infrastruktura obejmuje jedenaście potwierdzonych złośliwych domen podszywających się pod znane usługi, takie jak Surfshark VPN, Signal, Telegram, Zoom i Microsoft Teams. To strategiczne podszywanie się zwiększa prawdopodobieństwo udanych infekcji poprzez wykorzystanie rozpoznawalności marki.
Spis treści
Profil aktora stanowiącego zagrożenie: The Silver Fox Collective
Kampanię przypisuje się wpływowej chińskiej grupie cyberprzestępców znanej jako Silver Fox. Grupa ta działa pod wieloma pseudonimami, takimi jak SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 i Void Arachne. Analitycy bezpieczeństwa uważają tę grupę za jedno z najaktywniejszych cyberzagrożeń ostatnich lat, szczególnie ze względu na jej uporczywe ataki na kadrę zarządzającą i finansową w organizacjach.
Silver Fox wykorzystuje różnorodne wektory infekcji, takie jak platformy komunikacyjne, wiadomości phishingowe i witryny dystrybucji fałszywego oprogramowania. Cele grupy obejmują zdalną kontrolę systemów, eksfiltrację poufnych danych i oszustwa finansowe.
Ewolucja złośliwego oprogramowania: od Gh0st RAT do AtlasCross
Pojawienie się AtlasCross RAT oznacza znaczący postęp w zestawie narzędzi antywirusowych Silver Fox. Wcześniejsze operacje w dużej mierze opierały się na wariantach wywodzących się z Gh0st RAT, w tym ValleyRAT (znanego również jako Winos 4.0), Gh0stCringe i HoldingHands RAT (Gh0stBins). AtlasCross reprezentuje bardziej zaawansowaną ewolucję, obejmującą ulepszone mechanizmy ukrywania się, wykonywania i utrwalania.
Przerwanie łańcucha infekcji: od przynęty do egzekucji
Łańcuch ataku rozpoczyna się od fałszywych stron internetowych, które nakłaniają użytkowników do pobrania archiwów ZIP. Archiwa te zawierają instalatory, które wdrażają zarówno legalną aplikację-pułapkę, jak i zainfekowany plik binarny Autodesk. Złośliwy instalator uruchamia program ładujący kod powłoki, który odszyfrowuje wbudowaną konfigurację pochodzącą z Gh0st RAT.
Proces ten wyodrębnia szczegóły poleceń i kontroli (C2) i pobiera ładunek drugiego etapu z domeny „bifa668.com” przez port TCP 9899. Ostatni etap skutkuje wykonaniem w pamięci narzędzia AtlasCross RAT, co znacznie zmniejsza ryzyko wykrycia przez tradycyjne narzędzia bezpieczeństwa.
Złośliwa infrastruktura: domeny uzbrojone
Kampania demonstruje skoordynowaną konfigurację infrastruktury, przy czym większość złośliwych domen została zarejestrowana 27 października 2025 r., co wskazuje na celowe planowanie. Potwierdzone domeny wykorzystywane do dostarczania złośliwego oprogramowania to:
aplikacja-zoom.com
eyy-eyy.com
kefubao-pc.com
quickq-quickq.com
sygnał-sygnał.com
telegrtam.com.cn
trezor-trezor.com
ultraviewer-cn.com
wwtalk-app.com
www-surfshark.com
www-teams.com
Domeny te wiernie odzwierciedlają legalne usługi, często wprowadzając drobne różnice typograficzne lub identyfikatory regionalne, aby uniknąć podejrzeń.
Nadużycie zaufania: skradzione certyfikaty do podpisywania kodów
Wszystkie zidentyfikowane złośliwe instalatory są podpisane tym samym skradzionym certyfikatem podpisywania kodu Extended Validation (EV), wydanym firmie DUC FABULOUS CO., LTD z siedzibą w Hanoi w Wietnamie. Ponowne wykorzystanie tego certyfikatu w wielu niezwiązanych ze sobą kampaniach złośliwego oprogramowania sugeruje jego powszechną obecność w ekosystemie cyberprzestępców. Taka taktyka wzmacnia postrzeganą autentyczność złośliwych plików binarnych i pomaga ominąć zabezpieczenia.
Zaawansowane możliwości: od środka AtlasCross RAT
AtlasCross RAT wprowadza zaawansowany zestaw funkcji zaprojektowanych z myślą o ukryciu, trwałości i kontroli. Integruje on framework PowerChell, natywny silnik wykonawczy C/C++ PowerShell, który osadza środowisko uruchomieniowe języka wspólnego (CLR) platformy .NET bezpośrednio w procesie złośliwego oprogramowania.
Przed wykonaniem poleceń złośliwe oprogramowanie wyłącza kluczowe mechanizmy bezpieczeństwa, takie jak AMSI, ETW, tryb języka ograniczonego (Constrained Language Mode) i rejestrowanie ScriptBlock. Komunikacja z serwerami poleceń i kontroli jest szyfrowana za pomocą algorytmu ChaCha20 z losowymi kluczami dla każdego pakietu generowanymi za pomocą sprzętowego generatora liczb losowych.
Kluczowe funkcjonalności obejmują:
- Celowe wstrzyknięcie biblioteki DLL do WeChat
- Przejęcie sesji protokołu pulpitu zdalnego (RDP)
- Zakończenie połączeń na poziomie protokołu TCP z chińskich narzędzi bezpieczeństwa, takich jak 360 Safe, Huorong, Kingsoft i QQ PC Manager
- Manipulowanie systemem plików i wykonywanie poleceń powłoki
- Wytrwałość poprzez tworzenie zaplanowanych zadań
Strategia operacyjna: Oszustwo na dużą skalę
Silver Fox stosuje wielowarstwową strategię domenową, aby utrzymać wiarygodność i uniknąć wykrycia. Obejmuje to typosquatting, przechwytywanie domen i manipulację DNS, często w połączeniu z regionalnymi konwencjami nazewnictwa, aby zmniejszyć podejrzliwość użytkowników. Zdolność grupy do przekonującego powielania legalnych usług odgrywa kluczową rolę w skuteczności kampanii.
Rozszerzające się wektory ataków w Azji
Od co najmniej grudnia 2025 roku grupa rozszerzyła swoją działalność na wiele krajów, w tym Japonię, Malezję, Filipiny, Tajlandię, Indonezję, Singapur i Indie. Metody ataków ewoluowały z czasem, przechodząc od wiadomości phishingowych ze złośliwymi załącznikami PDF do nadużyć legalnych, ale nieprawidłowo skonfigurowanych narzędzi do zdalnego monitorowania i zarządzania, takich jak SyncFuture TSM.
W kolejnych kampaniach wdrożono również opartego na Pythonie program do kradzieży informacji, podszywającego się pod aplikację WhatsApp. Wcześniej, w styczniu 2026 roku, cyberprzestępcy wykorzystywali złośliwe oprogramowanie Blackmoon do wyłudzania informacji podatkowych, atakując indyjskich użytkowników.
Elastyczny arsenał: adaptacyjne operacje cyberprzestępcze
Silver Fox charakteryzuje się wysoką elastycznością operacyjną dzięki połączeniu wielu rodzin i technik złośliwego oprogramowania. Wykorzystanie ValleyRAT wraz z narzędziami RMM i niestandardowymi stealerami opartymi na Pythonie umożliwia szybką adaptację łańcuchów infekcji. Ta wszechstronność wspiera zarówno kampanie oportunistyczne na dużą skalę, jak i bardziej ukierunkowane, strategiczne ataki.
Grupa działa w oparciu o dwutorowy model, równoważąc szeroko zakrojone ataki z bardziej zaawansowanymi operacjami mającymi na celu długotrwały dostęp do systemu i głębszą infiltrację sieci.
Precyzja spear-phishingu: celowanie w korporacyjne ofiary
Oprócz szeroko zakrojonych kampanii, Silver Fox prowadzi ukierunkowane ataki spear phishingowe skierowane na konkretne branże, w szczególności producentów japońskich. Ataki te wykorzystują bardzo przekonujące przynęty związane z przestrzeganiem przepisów podatkowych, korektami wynagrodzeń, zmianami w pracy i programami akcyjnymi dla pracowników.
Po wdrożeniu ValleyRAT umożliwia atakującym:
- Uzyskaj pełną zdalną kontrolę nad zainfekowanymi systemami
- Zbieraj poufne i finansowe dane
- Monitoruj aktywność użytkowników w czasie rzeczywistym
- Utrzymuj trwałość w sieci
Dzięki temu poziomowi dostępu osoby atakujące mogą eskalować ataki, ujawniać poufne informacje i przygotowywać się do dalszych etapów eksploatacji zabezpieczeń w zainfekowanych środowiskach.
