AtlasCross RAT
В настоящее время активно ведется масштабная кибератака на китайскоязычных пользователей с использованием доменов, созданных с помощью опечаток и сквоттинга, имитирующих известные бренды программного обеспечения. Эти обманные веб-сайты предназначены для распространения ранее не описанного трояна удаленного доступа, известного как AtlasCross RAT. Кампания использует доверие пользователей к широко распространенным приложениям, включая VPN-клиенты, платформы для обмена зашифрованными сообщениями, инструменты для видеоконференций, программы для отслеживания криптовалют и программное обеспечение для электронной коммерции.
Инфраструктура включает одиннадцать подтвержденных вредоносных доменов, имитирующих известные сервисы, такие как Surfshark VPN, Signal, Telegram, Zoom и Microsoft Teams. Эта стратегическая имитация повышает вероятность успешного заражения за счет использования узнаваемости бренда.
Оглавление
Профиль субъекта угроз: Коллектив «Серебряный Лис»
Кампания приписывается известной китайской киберпреступной группе Silver Fox. Эта группа действует под несколькими псевдонимами, включая SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 и Void Arachne. Исследователи в области кибербезопасности считают эту группу одной из самых активных киберугроз последних лет, особенно из-за ее постоянных атак на руководящий и финансовый персонал в организациях.
Группа Silver Fox использует различные каналы распространения вредоносного ПО, такие как мессенджеры, фишинговые электронные письма и сайты распространения контрафактного программного обеспечения. Цели группы включают удаленный контроль над системами, утечку конфиденциальных данных и финансовое мошенничество.
Эволюция вредоносных программ: от RAT-программы Gh0st до AtlasCross
Появление RAT-программы AtlasCross знаменует собой значительный шаг вперед в арсенале вредоносного ПО компании Silver Fox. Ранее в основном использовались варианты, созданные на основе RAT-программы Gh0st, включая ValleyRAT (также известную как Winos 4.0), Gh0stCringe и HoldingHands RAT (Gh0stBins). AtlasCross представляет собой более сложную эволюцию, включающую улучшенные механизмы скрытности, выполнения и обеспечения постоянного присутствия в системе.
Разрыв цепочки заражения: от приманки до казни
Цепочка атак начинается с мошеннических веб-сайтов, которые обманом заставляют пользователей скачивать ZIP-архивы. Эти архивы содержат установщики, которые развертывают как легитимное приложение-приманку, так и троянизированный бинарный файл Autodesk. Вредоносный установщик запускает загрузчик шеллкода, который расшифровывает встроенную конфигурацию, полученную из RAT-программы Gh0st.
Этот процесс извлекает данные управления и контроля (C2) и получает полезную нагрузку второго этапа из домена 'bifa668.com' через TCP-порт 9899. На заключительном этапе выполняется запуск AtlasCross RAT в оперативной памяти, что значительно снижает вероятность обнаружения традиционными средствами безопасности.
Вредоносная инфраструктура: домены, используемые в качестве оружия.
Кампания демонстрирует скоординированную структуру инфраструктуры, при этом большинство вредоносных доменов было зарегистрировано 27 октября 2025 года, что свидетельствует о преднамеренном планировании. Подтвержденные домены, используемые для распространения вредоносного ПО, включают:
app-zoom.com
eyy-eyy.com
kefubao-pc.com
quickq-quickq.com
signal-signal.com
telegrtam.com.cn
trezor-trezor.com
ultraviewer-cn.com
wwtalk-app.com
www-surfshark.com
www-teams.com
Эти домены очень похожи на легитимные сервисы, часто используя незначительные типографские вариации или региональные идентификаторы, чтобы избежать подозрений.
Злоупотребление доверием: кража сертификатов для подписи кода.
Все обнаруженные вредоносные установщики подписаны с использованием одного и того же украденного сертификата расширенной проверки подлинности (EV), выданного компании DUC FABULOUS CO., LTD, расположенной в Ханое, Вьетнам. Повторное использование этого сертификата в нескольких несвязанных кампаниях по распространению вредоносного ПО свидетельствует о его широком распространении в киберпреступной среде. Эта тактика повышает воспринимаемую легитимность вредоносных бинарных файлов и помогает обойти средства защиты.
Расширенные возможности: Внутри AtlasCross RAT
AtlasCross RAT представляет собой мощный набор возможностей, разработанных для скрытности, постоянного присутствия и контроля. Он интегрирует фреймворк PowerChell, собственный механизм выполнения PowerShell на C/C++, который встраивает среду выполнения .NET Common Language Runtime (CLR) непосредственно в процесс вредоносного ПО.
Перед выполнением команд вредоносная программа отключает ключевые механизмы безопасности, такие как AMSI, ETW, режим ограниченного языка и логирование ScriptBlock. Связь с серверами управления и контроля шифруется с помощью ChaCha20, при этом для каждого пакета генерируются случайные ключи с помощью аппаратной генерации случайных чисел.
Основные функциональные возможности включают в себя:
- Целенаправленная внедрение DLL-библиотек в WeChat
- Перехват сеанса протокола удаленного рабочего стола (RDP)
- Завершение соединений на уровне TCP для китайских инструментов безопасности, таких как 360 Safe, Huorong, Kingsoft и QQ PC Manager.
- Манипулирование файловой системой и выполнение команд оболочки.
- Обеспечение устойчивости за счет создания запланированных задач.
Оперативная стратегия: масштабный обман
Компания Silver Fox использует многоуровневую стратегию управления доменами для поддержания доверия и избежания обнаружения. Это включает в себя тайпсквоттинг, захват доменов и манипуляции с DNS, часто в сочетании с региональными правилами именования для снижения подозрительности пользователей. Способность группы убедительно имитировать легитимные сервисы играет решающую роль в эффективности кампании.
Расширение векторов атак по всей Азии
По меньшей мере с декабря 2025 года группа расширила свою деятельность на несколько стран, включая Японию, Малайзию, Филиппины, Таиланд, Индонезию, Сингапур и Индию. Методы атак со временем эволюционировали, перейдя от фишинговых писем со вредоносными PDF-вложениями к злоупотреблению легитимными, но неправильно настроенными инструментами удаленного мониторинга и управления, такими как SyncFuture TSM.
В последующих кампаниях также использовался вредоносный код на основе Python, замаскированный под приложение WhatsApp. Ранее, в январе 2026 года, были предприняты попытки обмана пользователей из Индии с помощью вредоносного ПО Blackmoon, связанного с налоговой тематикой.
Гибкий арсенал: адаптивные операции по борьбе с киберпреступностью
Silver Fox демонстрирует высокую степень оперативной гибкости, комбинируя несколько семейств вредоносных программ и методов. Использование ValleyRAT вместе с инструментами RMM и пользовательскими программами-похитителями на основе Python позволяет быстро адаптировать цепочки заражения. Эта универсальность поддерживает как крупномасштабные оппортунистические кампании, так и более целенаправленные, стратегические атаки.
Группа использует двухэтапную модель, сочетая широкомасштабные атаки с более сложными операциями, направленными на получение долгосрочного доступа к системе и более глубокое проникновение в сеть.
Точность целевого фишинга: нацеливание на корпоративных жертв
Помимо масштабных кампаний, Silver Fox проводит целенаправленные фишинговые атаки, нацеленные на конкретные отрасли, в частности, на японских производителей. В этих атаках используются весьма убедительные приманки, связанные с соблюдением налогового законодательства, корректировкой заработной платы, сменой работы и планами участия сотрудников в акционерном капитале.
После развертывания ValleyRAT позволяет злоумышленникам:
- Получите полный удаленный контроль над зараженными системами.
- Сбор конфиденциальных и финансовых данных.
- Отслеживайте активность пользователей в режиме реального времени.
- Обеспечивать постоянное присутствие в сети.
Такой уровень доступа позволяет злоумышленникам усиливать атаки, похищать конфиденциальную информацию и готовиться к дальнейшим этапам эксплуатации в скомпрометированных средах.
