AtlasCross RAT
Rozsiahla kybernetická kampaň aktívne cieli na čínsky hovoriacich používateľov prostredníctvom domén s preklepmi, ktoré napodobňujú dôveryhodné softvérové značky. Tieto klamlivé webové stránky sú navrhnuté tak, aby šírili doteraz nezdokumentovaný trójsky kôň pre vzdialený prístup známy ako AtlasCross RAT. Kampaň využíva dôveru používateľov v široko používané aplikácie vrátane VPN klientov, platforiem na šifrované zasielanie správ, nástrojov na videokonferencie, sledovačov kryptomien a softvéru pre elektronický obchod.
Infraštruktúra zahŕňa jedenásť potvrdených škodlivých domén, ktoré sa vydávajú za známe služby, ako sú Surfshark VPN, Signal, Telegram, Zoom a Microsoft Teams. Toto strategické vydávanie sa za škodlivú doménu zvyšuje pravdepodobnosť úspešných infekcií zneužívaním známej značky.
Obsah
Profil aktéra hrozby: The Silver Fox Collective
Kampaň sa pripisuje plodnej čínskej kyberzločinckej skupine známej ako Silver Fox. Táto skupina operuje pod viacerými prezývkami, vrátane SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 a Void Arachne. Bezpečnostní výskumníci považujú túto skupinu za jednu z najaktívnejších kybernetických hrozieb posledných rokov, najmä kvôli jej neustálemu zacieleniu na manažérsky a finančný personál v organizáciách.
Skupina Silver Fox využíva rôzne vektory infekcie, ako sú platformy na odosielanie správ, phishingové e-maily a stránky na distribúciu falzifikátov softvéru. Cieľmi skupiny je diaľková kontrola systému, únik citlivých údajov a finančné podvody.
Vývoj malvéru: Od Gh0st RAT po AtlasCross
Vznik AtlasCross RAT predstavuje významný pokrok v sade malvéru od spoločnosti Silver Fox. Skoršie operácie sa vo veľkej miere spoliehali na varianty odvodené od Gh0st RAT, vrátane ValleyRAT (známeho aj ako Winos 4.0), Gh0stCringe a HoldingHands RAT (Gh0stBins). AtlasCross predstavuje sofistikovanejší vývoj, ktorý zahŕňa vylepšené mechanizmy utajenia, vykonávania a perzistencie.
Rozpad infekčného reťazca: Od návnady k poprave
Útočný reťazec začína podvodnými webovými stránkami, ktoré oklamú používateľov a prinútia ich stiahnuť si ZIP archívy. Tieto archívy obsahujú inštalátory, ktoré nasadzujú legitímnu návnadovú aplikáciu aj binárny súbor Autodesk napadnutý trójskym koňom. Škodlivý inštalátor spustí zavádzač shellcode, ktorý dešifruje vloženú konfiguráciu odvodenú z Gh0st RAT.
Tento proces extrahuje podrobnosti o systéme Command-and-Control (C2) a načítava dáta druhej fázy z domény „bifa668.com“ cez TCP port 9899. Posledná fáza vedie k spusteniu AtlasCross RAT v pamäti, čo výrazne znižuje detekciu tradičnými bezpečnostnými nástrojmi.
Škodlivá infraštruktúra: Zbranené domény
Kampaň demonštruje koordinované nastavenie infraštruktúry, pričom väčšina škodlivých domén bola zaregistrovaná 27. októbra 2025, čo naznačuje zámerné plánovanie. Medzi potvrdené domény používané na distribúciu škodlivého softvéru patria:
app-zoom.com
eyy-eyy.com
kefubao-pc.com
quickq-quickq.com
signal-signal.com
telegrtam.com.cn
trezor-trezor.com
ultraviewer-cn.com
wwtalk-app.com
www-surfshark.com
www-teams.com
Tieto domény veľmi dobre napodobňujú legitímne služby a často obsahujú jemné typografické variácie alebo regionálne identifikátory, aby sa predišlo podozreniu.
Zneužitie dôvery: Ukradnuté certifikáty na podpisovanie kódu
Všetky identifikované škodlivé inštalátory sú podpísané pomocou rovnakého ukradnutého certifikátu na podpisovanie kódu s rozšíreným overením (EV), ktorý bol vydaný spoločnosti DUC FABULOUS CO., LTD so sídlom v Hanoji vo Vietname. Opätovné použitie tohto certifikátu vo viacerých nesúvisiacich kampaniach škodlivého softvéru naznačuje jeho rozsiahle šírenie v ekosystéme kybernetickej kriminality. Táto taktika zvyšuje vnímanú legitimitu škodlivých binárnych súborov a pomáha obchádzať bezpečnostné opatrenia.
Pokročilé možnosti: Vnútri AtlasCross RAT
AtlasCross RAT predstavuje výkonnú sadu funkcií navrhnutých pre nenápadnosť, vytrvalosť a kontrolu. Integruje framework PowerChell, natívny engine pre vykonávanie kódu PowerShell v jazyku C/C++, ktorý priamo do procesu škodlivého softvéru vkladá .NET Common Language Runtime (CLR).
Pred vykonaním príkazov malvér deaktivuje kľúčové bezpečnostné mechanizmy, ako sú AMSI, ETW, režim obmedzeného jazyka a protokolovanie ScriptBlock. Komunikácia so servermi príkazového riadenia je šifrovaná pomocou ChaCha20 s náhodnými kľúčmi generovanými pre každý paket prostredníctvom hardvérového generovania náhodných čísel.
Medzi kľúčové funkcie patria:
- Cielená injekcia DLL do WeChatu
- Únos relácie protokolu RDP (Remote Desktop Protocol)
- Ukončenie pripojení na úrovni TCP z čínskych bezpečnostných nástrojov, ako sú 360 Safe, Huorong, Kingsoft a QQ PC Manager
- Manipulácia so súborovým systémom a vykonávanie príkazov shellu
- Perzistencia prostredníctvom vytvárania plánovaných úloh
Operačná stratégia: Klamstvo vo veľkom meradle
Silver Fox využíva viacvrstvovú stratégiu domén na udržanie dôveryhodnosti a vyhýbanie sa odhaleniu. Patria sem preklepy, únosy domén a manipulácia s DNS, často v kombinácii s konvenciami pomenovania špecifickými pre daný región, aby sa znížilo podozrenie používateľov. Schopnosť skupiny presvedčivo replikovať legitímne služby zohráva kľúčovú úlohu v účinnosti kampane.
Rozširujúce sa vektory útokov po celej Ázii
Minimálne od decembra 2025 skupina rozšírila svoje pôsobenie do viacerých krajín vrátane Japonska, Malajzie, Filipín, Thajska, Indonézie, Singapuru a Indie. Metódy útokov sa časom vyvíjali a prechádzali od phishingových e-mailov so škodlivými prílohami PDF až po zneužívanie legitímnych, ale nesprávne nakonfigurovaných nástrojov na diaľkové monitorovanie a správu, ako je SyncFuture TSM.
Následné kampane tiež nasadili nástroj na krádež informácií založený na jazyku Python, maskovaný ako aplikácia WhatsApp. Skoršia aktivita v januári 2026 zahŕňala návnady s daňovou tematikou zamerané na indických používateľov so škodlivým softvérom Blackmoon.
Flexibilný arzenál: Adaptívne operácie v oblasti kyberkriminality
Silver Fox preukazuje vysoký stupeň operačnej flexibility kombináciou viacerých rodín a techník malvéru. Použitie ValleyRAT spolu s nástrojmi RMM a vlastnými stealermi založenými na jazyku Python umožňuje rýchlu adaptáciu infekčných reťazcov. Táto všestrannosť podporuje rozsiahle oportunistické kampane aj cielenejšie strategické útoky.
Skupina prevádzkuje dvojaký model, v ktorom vyvažuje rozsiahle útoky so sofistikovanejšími operáciami určenými na dlhodobý prístup k systému a hlbšiu infiltráciu siete.
Presnosť spear-phishingu: Zacielenie na firemné obete
Okrem rozsiahlych kampaní spoločnosť Silver Fox vykonáva cielené phishingové útoky zamerané na konkrétne odvetvia, najmä na japonských výrobcov. Tieto útoky využívajú veľmi presvedčivé návnady súvisiace s dodržiavaním daňových predpisov, úpravami platov, zmenami zamestnania a plánmi vlastníctva akcií zamestnancami.
Po nasadení umožňuje ValleyRAT útočníkom:
- Získajte plnú diaľkovú kontrolu nad infikovanými systémami
- Zber citlivých a finančných údajov
- Monitorujte aktivitu používateľov v reálnom čase
- Udržiavať vytrvalosť v sieti
Táto úroveň prístupu umožňuje aktérom útokov eskalovať útoky, získavať dôverné informácie a pripravovať sa na ďalšie fázy zneužívania v kompromitovaných prostrediach.
