Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware AtlasCross RAT

AtlasCross RAT

Por Mezo em Malware, Ameaça Persistente Avançada (APT), Ferramentas de Administração Remota
Traduzir Para:

Uma campanha de ciberataques em larga escala está visando ativamente usuários de língua chinesa por meio de domínios com erros de digitação que imitam marcas de software confiáveis. Esses sites enganosos são projetados para distribuir um trojan de acesso remoto (RAT) até então desconhecido, chamado AtlasCross. A campanha explora a confiança dos usuários em aplicativos amplamente utilizados, incluindo clientes VPN, plataformas de mensagens criptografadas, ferramentas de videoconferência, rastreadores de criptomoedas e softwares de comércio eletrônico.

A infraestrutura inclui onze domínios maliciosos confirmados que se fazem passar por serviços conhecidos, como Surfshark VPN, Signal, Telegram, Zoom e Microsoft Teams. Essa personificação estratégica aumenta a probabilidade de infecções bem-sucedidas, explorando o reconhecimento da marca.

Perfil do agente de ameaça: O Coletivo Raposa Prateada

A campanha foi atribuída a um prolífico grupo chinês de cibercriminosos conhecido como Silver Fox. Este grupo opera sob vários pseudônimos, incluindo SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 e Void Arachne. Pesquisadores de segurança consideram este grupo uma das ameaças cibernéticas mais ativas dos últimos anos, principalmente devido ao seu direcionamento persistente a funcionários de cargos gerenciais e financeiros dentro de organizações.

O grupo Silver Fox utiliza diversos vetores de infecção, como plataformas de mensagens, e-mails de phishing e sites de distribuição de software falsificado. Os objetivos do grupo incluem controle remoto de sistemas, exfiltração de dados sensíveis e fraude financeira.

Evolução do Malware: Do Gh0st RAT ao AtlasCross

O surgimento do AtlasCross RAT representa um avanço significativo no conjunto de ferramentas de malware da Silver Fox. As operações anteriores dependiam fortemente de variantes derivadas do Gh0st RAT, incluindo o ValleyRAT (também conhecido como Winos 4.0), o Gh0stCringe e o HoldingHands RAT (Gh0stBins). O AtlasCross representa uma evolução mais sofisticada, incorporando mecanismos aprimorados de furtividade, execução e persistência.

Quebra da cadeia de infecção: da isca à execução

A cadeia de ataque começa com sites fraudulentos que enganam os usuários para que baixem arquivos ZIP. Esses arquivos contêm instaladores que implantam tanto um aplicativo legítimo falso quanto um binário da Autodesk infectado por um trojan. O instalador malicioso inicia um carregador de shellcode que descriptografa uma configuração embutida derivada do RAT Gh0st.

Este processo extrai detalhes de Comando e Controle (C2) e recupera uma carga útil de segundo estágio do domínio 'bifa668.com' através da porta TCP 9899. O estágio final resulta na execução em memória do AtlasCross RAT, reduzindo significativamente a detecção por ferramentas de segurança tradicionais.

Infraestrutura Maliciosa: Domínios Armados

A campanha demonstra uma infraestrutura coordenada, com a maioria dos domínios maliciosos registrados em 27 de outubro de 2025, indicando planejamento deliberado. Os domínios confirmados para distribuição de malware incluem:

app-zoom.com
eyy-eyy.com
kefubao-pc.com
quickq-quickq.com
sinal-sinal.com
telegrtam.com.cn
trezor-trezor.com
ultraviewer-cn.com
wwtalk-app.com
www-surfshark.com
www-teams.com

Esses domínios imitam de perto serviços legítimos, muitas vezes incorporando variações tipográficas sutis ou identificadores regionais para evitar suspeitas.

Abuso de confiança: Certificados de assinatura de código roubados

Todos os instaladores maliciosos identificados são assinados usando o mesmo certificado de assinatura de código Extended Validation (EV) roubado, emitido para a DUC FABULOUS CO., LTD, uma empresa sediada em Hanói, Vietnã. A reutilização desse certificado em várias campanhas de malware não relacionadas sugere ampla circulação no ecossistema cibercriminoso. Essa tática aumenta a percepção de legitimidade dos binários maliciosos e ajuda a burlar as defesas de segurança.

Recursos avançados: Dentro do AtlasCross RAT

O AtlasCross RAT introduz um conjunto poderoso de recursos projetados para furtividade, persistência e controle. Ele integra o framework PowerChell, um mecanismo de execução nativo em C/C++ PowerShell que incorpora o Common Language Runtime (CLR) do .NET diretamente no processo do malware.

Antes de executar comandos, o malware desativa mecanismos de segurança essenciais, como AMSI, ETW, Modo de Linguagem Restrita e registro de ScriptBlock. A comunicação com os servidores de comando e controle é criptografada usando ChaCha20 com chaves aleatórias por pacote geradas por meio de geração de números aleatórios baseada em hardware.

As principais funcionalidades incluem:

  • Injeção de DLL direcionada no WeChat
  • sequestro de sessão do Protocolo de Área de Trabalho Remota (RDP)
  • Encerramento de conexões em nível TCP por ferramentas de segurança chinesas como 360 Safe, Huorong, Kingsoft e QQ PC Manager.
  • Manipulação do sistema de arquivos e execução de comandos do shell
  • Persistência através da criação de tarefas agendadas

Estratégia Operacional: Engano em Grande Escala

A Silver Fox emprega uma estratégia de domínio em múltiplas camadas para manter a credibilidade e evitar a detecção. Isso inclui typosquatting, sequestro de domínio e manipulação de DNS, frequentemente combinados com convenções de nomenclatura específicas de cada região para reduzir a suspeita dos usuários. A capacidade do grupo de replicar serviços legítimos de forma convincente desempenha um papel crucial na eficácia da campanha.

Vetores de ataque em expansão por toda a Ásia

Desde pelo menos dezembro de 2025, o grupo expandiu suas operações para diversos países, incluindo Japão, Malásia, Filipinas, Tailândia, Indonésia, Singapura e Índia. Os métodos de ataque evoluíram ao longo do tempo, passando de e-mails de phishing com anexos PDF maliciosos para o abuso de ferramentas legítimas, porém mal configuradas, de monitoramento e gerenciamento remoto, como o SyncFuture TSM.

Campanhas subsequentes também implantaram um programa de roubo de informações baseado em Python, disfarçado de aplicativo WhatsApp. Atividades anteriores, em janeiro de 2026, envolveram iscas com temática tributária direcionadas a usuários indianos com o malware Blackmoon.

Arsenal Flexível: Operações Adaptáveis de Combate ao Cibercrime

O Silver Fox demonstra um alto grau de flexibilidade operacional ao combinar múltiplas famílias e técnicas de malware. O uso do ValleyRAT juntamente com ferramentas RMM e stealers personalizados baseados em Python permite uma rápida adaptação das cadeias de infecção. Essa versatilidade suporta tanto campanhas oportunistas em larga escala quanto ataques mais direcionados e estratégicos.

O grupo opera com um modelo de dupla estratégia, equilibrando ataques generalizados com operações mais sofisticadas, projetadas para acesso a longo prazo ao sistema e infiltração mais profunda na rede.

Precisão no Spear-Phishing: Visando Vítimas Corporativas

Além de campanhas abrangentes, a Silver Fox realiza ataques de spear-phishing direcionados a setores específicos, particularmente fabricantes japoneses. Esses ataques utilizam iscas altamente convincentes relacionadas a conformidade tributária, ajustes salariais, mudanças de emprego e planos de participação acionária para funcionários.

Uma vez implantado, o ValleyRAT permite que os atacantes:

  • Obtenha controle remoto total dos sistemas infectados
  • Coletar dados financeiros e sensíveis
  • Monitore a atividade do usuário em tempo real.
  • Manter a persistência dentro da rede

Esse nível de acesso permite que agentes maliciosos intensifiquem ataques, extraiam informações confidenciais e se preparem para etapas adicionais de exploração em ambientes comprometidos.

Tendendo

Mais visto

Carregando...