AtlasCross RAT

O campanie de atac cibernetic la scară largă vizează în mod activ utilizatorii vorbitori de limbă chineză prin intermediul domeniilor typosquatted care imită mărci de software de încredere. Aceste site-uri web înșelătoare sunt concepute pentru a distribui un troian de acces la distanță nedocumentat anterior, cunoscut sub numele de AtlasCross RAT. Campania valorifică încrederea utilizatorilor în aplicații utilizate pe scară largă, inclusiv clienți VPN, platforme de mesagerie criptată, instrumente de videoconferință, trackere de criptomonede și software de comerț electronic.

Infrastructura include unsprezece domenii rău intenționate confirmate care se prefac a fi servicii cunoscute precum Surfshark VPN, Signal, Telegram, Zoom și Microsoft Teams. Această uzurpare strategică crește probabilitatea unor infecții reușite prin exploatarea familiarității cu brandul.

Profilul actorului amenințător: Colectivul Silver Fox

Campania a fost atribuită unui prolific grup chinez de criminalitate cibernetică cunoscut sub numele de Silver Fox. Acest grup operează sub mai multe pseudonime, inclusiv SwimSnake, The Great Thief of Valley (Hoțul Văii), UTG-Q-1000 și Void Arachne. Cercetătorii în domeniul securității consideră acest grup una dintre cele mai active amenințări cibernetice din ultimii ani, în special datorită țintirii persistente a personalului managerial și financiar din cadrul organizațiilor.

Silver Fox folosește diverși vectori de infecție, cum ar fi platforme de mesagerie, e-mailuri de phishing și site-uri de distribuție de software contrafăcut. Obiectivele grupului includ controlul de la distanță al sistemelor, exfiltrarea datelor sensibile și frauda financiară.

Evoluția programelor malware: De la Gh0st RAT la AtlasCross

Apariția AtlasCross RAT marchează un progres semnificativ în setul de instrumente malware al Silver Fox. Operațiunile anterioare se bazau în mare măsură pe variante derivate din Gh0st RAT, inclusiv ValleyRAT (cunoscut și sub numele de Winos 4.0), Gh0stCringe și HoldingHands RAT (Gh0stBins). AtlasCross reprezintă o evoluție mai sofisticată, încorporând mecanisme îmbunătățite de stealth, execuție și persistență.

Defalcarea lanțului de infecție: de la ademenire la execuție

Lanțul de atac începe cu site-uri web frauduloase care păcălesc utilizatorii să descarce arhive ZIP. Aceste arhive conțin programe de instalare care implementează atât o aplicație capcană legitimă, cât și un fișier binar Autodesk troian. Programul de instalare rău intenționat inițiază un încărcător de shellcode care decriptează o configurație încorporată derivată din Gh0st RAT.

Acest proces extrage detalii de Comandă și Control (C2) și preia o sarcină utilă de a doua etapă din domeniul „bifa668.com” prin portul TCP 9899. Etapa finală are ca rezultat executarea în memorie a AtlasCross RAT, reducând semnificativ detectarea de către instrumentele de securitate tradiționale.

Infrastructură rău intenționată: Domenii transformate în arme

Campania demonstrează o configurație coordonată a infrastructurii, majoritatea domeniilor rău intenționate fiind înregistrate pe 27 octombrie 2025, ceea ce indică o planificare deliberată. Domeniile confirmate utilizate pentru livrarea de programe malware includ:

app-zoom.com
eyy-eyy.com
kefubao-pc.com
quickq-quickq.com
signal-signal.com
telegrtam.com.cn
trezor-trezor.com
ultraviewer-cn.com
wwtalk-app.com
www-surfshark.com
www-teams.com

Aceste domenii imită îndeaproape serviciile legitime, încorporând adesea variații tipografice subtile sau identificatori regionali pentru a evita suspiciunile.

Abuz de încredere: Certificate de semnare a codului furate

Toți instalatorii malițioși identificați sunt semnați folosind același certificat de semnare a codului cu validare extinsă (EV) furat, emis către DUC FABULOUS CO., LTD, o companie cu sediul în Hanoi, Vietnam. Reutilizarea acestui certificat în mai multe campanii malware independente sugerează o circulație pe scară largă în cadrul ecosistemului infracțional cibernetic. Această tactică sporește legitimitatea percepută a fișierelor binar malițioase și ajută la ocolirea apărărilor de securitate.

Capacități avansate: În interiorul AtlasCross RAT

AtlasCross RAT introduce un set puternic de capabilități concepute pentru ascundere, persistență și control. Integrează framework-ul PowerChell, un motor nativ de execuție C/C++ PowerShell care încorporează .NET Common Language Runtime (CLR) direct în procesul malware.

Înainte de a executa comenzi, malware-ul dezactivează mecanisme cheie de securitate, cum ar fi AMSI, ETW, Constrained Language Mode și înregistrarea în jurnal a ScriptBlock. Comunicarea cu serverele de comandă și control este criptată folosind ChaCha20, cu chei aleatorii per pachet generate prin generarea de numere aleatorii bazate pe hardware.

Funcționalitățile cheie includ:

• Injectare DLL direcționată în WeChat
• Deturnarea sesiunii prin Protocolul Desktop la distanță (RDP)
• Terminarea la nivel TCP a conexiunilor de la instrumente de securitate chinezești precum 360 Safe, Huorong, Kingsoft și QQ PC Manager
• Manipularea sistemului de fișiere și executarea comenzilor shell
• Persistență prin crearea de sarcini programate

Strategie operațională: Înșelăciune la scară largă

Silver Fox folosește o strategie de domeniu cu mai multe niveluri pentru a menține credibilitatea și a evita detectarea. Aceasta include typosquatting, domain hijacking și manipularea DNS, adesea combinate cu convenții de denumire specifice regiunii pentru a reduce suspiciunile utilizatorilor. Capacitatea grupului de a reproduce în mod convingător servicii legitime joacă un rol esențial în eficacitatea campaniei.

Vectori de atac în expansiune în Asia

Cel puțin din decembrie 2025, grupul și-a extins operațiunile în mai multe țări, inclusiv Japonia, Malaezia, Filipine, Thailanda, Indonezia, Singapore și India. Metodele de atac au evoluat în timp, trecând de la e-mailuri de tip phishing cu atașamente PDF rău intenționate la abuzul de instrumente de monitorizare și gestionare de la distanță legitime, dar configurate greșit, cum ar fi SyncFuture TSM.

Campaniile ulterioare au implementat, de asemenea, un instrument de furt de informații bazat pe Python, deghizat în aplicație WhatsApp. Activitățile anterioare din ianuarie 2026 au implicat momeli cu tematică fiscală care vizau utilizatorii indieni cu malware-ul Blackmoon.

Arsenal flexibil: Operațiuni adaptive de combatere a criminalității cibernetice

Silver Fox demonstrează un grad ridicat de flexibilitate operațională prin combinarea mai multor familii și tehnici de malware. Utilizarea ValleyRAT alături de instrumente RMM și programe de tip „stealer” personalizate bazate pe Python permite adaptarea rapidă a lanțurilor de infecții. Această versatilitate susține atât campanii oportuniste la scară largă, cât și atacuri strategice mai direcționate.

Grupul operează un model dual, echilibrând atacurile pe scară largă cu operațiuni mai sofisticate, concepute pentru accesul pe termen lung la sistem și infiltrarea mai profundă în rețea.

Precizie în spear-phishing: Vizarea victimelor corporative

Pe lângă campaniile ample, Silver Fox desfășoară atacuri de spear-phishing direcționate către anumite industrii, în special producătorii japonezi. Aceste atacuri folosesc momeli extrem de convingătoare legate de respectarea legislației fiscale, ajustări salariale, schimbări de locuri de muncă și planuri de acțiuni pentru angajați.

Odată implementat, ValleyRAT permite atacatorilor să:

• Obțineți control complet de la distanță asupra sistemelor infectate
• Colectarea datelor sensibile și financiare
• Monitorizați activitatea utilizatorilor în timp real
• Mențineți persistența în cadrul rețelei

Acest nivel de acces permite actorilor vulnerabili să escaladeze atacurile, să exfiltreze informații confidențiale și să se pregătească pentru etape ulterioare de exploatare în medii compromise.