AtlasCross RAT
Një fushatë sulmesh kibernetike në shkallë të gjerë po synon në mënyrë aktive përdoruesit që flasin kinezisht përmes domeneve të bllokuara nga shtypja që imitojnë marka të besueshme të softuerëve. Këto faqe interneti mashtruese janë krijuar për të shpërndarë një trojan me qasje në distancë të padokumentuar më parë, të njohur si AtlasCross RAT. Fushata shfrytëzon besimin e përdoruesve në aplikacione të përdorura gjerësisht, duke përfshirë klientët VPN, platformat e mesazheve të enkriptuara, mjetet e videokonferencave, gjurmuesit e kriptovalutave dhe softuerët e tregtisë elektronike.
Infrastruktura përfshin njëmbëdhjetë domene të konfirmuara keqdashëse që imitojnë shërbime të njohura si Surfshark VPN, Signal, Telegram, Zoom dhe Microsoft Teams. Ky imitim strategjik rrit mundësinë e infeksioneve të suksesshme duke shfrytëzuar njohjen e markës.
Tabela e Përmbajtjes
Profili i Aktorit Kërcënues: Kolektivi Silver Fox
Fushata i është atribuar një grupi kinez të krimit kibernetik të njohur si Silver Fox. Ky grup vepron nën disa pseudonime, duke përfshirë SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 dhe Void Arachne. Studiuesit e sigurisë e konsiderojnë këtë grup si një nga kërcënimet kibernetike më aktive në vitet e fundit, veçanërisht për shkak të shënjestrimit të vazhdueshëm të personelit menaxherial dhe financiar brenda organizatave.
Silver Fox përdor vektorë të ndryshëm infeksioni, siç janë platformat e mesazheve, emailet e phishing dhe faqet e shpërndarjes së softuerëve të falsifikuar. Objektivat e grupit përfshijnë kontrollin e sistemit në distancë, nxjerrjen e të dhënave të ndjeshme dhe mashtrimin financiar.
Evolucioni i Malware-it: Nga Gh0st RAT te AtlasCross
Shfaqja e AtlasCross RAT shënon një përparim të rëndësishëm në mjetet kundër malware të Silver Fox. Operacionet e mëparshme mbështeteshin shumë në variante të nxjerra nga Gh0st RAT, duke përfshirë ValleyRAT (i njohur edhe si Winos 4.0), Gh0stCringe dhe HoldingHands RAT (Gh0stBins). AtlasCross përfaqëson një evolucion më të sofistikuar, duke përfshirë mekanizma të përmirësuar të fshehtësisë, ekzekutimit dhe qëndrueshmërisë.
Ndarja e Zinxhirit të Infeksionit: Nga Joshja te Ekzekutimi
Zinxhiri i sulmit fillon me faqe interneti mashtruese që i mashtrojnë përdoruesit duke i detyruar të shkarkojnë arkivat ZIP. Këto arkiva përmbajnë instalues që vendosin si një aplikacion të ligjshëm mashtrues ashtu edhe një skedar binar Autodesk të trojanizuar. Instaluesi keqdashës fillon një ngarkues shellcode që dekripton një konfigurim të ngulitur të nxjerrë nga Gh0st RAT.
Ky proces nxjerr detajet e Command-and-Control (C2) dhe merr një ngarkesë të fazës së dytë nga domeni 'bifa668.com' nëpërmjet portit TCP 9899. Faza përfundimtare rezulton në ekzekutimin në memorie të AtlasCross RAT, duke zvogëluar ndjeshëm zbulimin nga mjetet tradicionale të sigurisë.
Infrastrukturë keqdashëse: Domene të armatosura
Fushata demonstron një konfigurim të koordinuar të infrastrukturës, me shumicën e domeneve keqdashëse të regjistruara më 27 tetor 2025, duke treguar planifikim të qëllimshëm. Domenet e konfirmuara të përdorura për shpërndarjen e malware përfshijnë:
app-zoom.com
eyy-eyy.com
kefubao-pc.com
quickq-quickq.com
signal-signal.com
telegrtam.com.cn
trezor-trezor.com
ultraviewer-cn.com
wwtalk-app.com
www-surfshark.com
www-teams.com
Këto domene imitojnë nga afër shërbimet legjitime, shpesh duke përfshirë variacione të holla tipografike ose identifikues rajonalë për të shmangur dyshimet.
Abuzimi i Besimit: Certifikata të Vjedhura të Nënshkrimit të Kodit
Të gjithë instaluesit e identifikuar keqdashës janë nënshkruar duke përdorur të njëjtën certifikatë të vjedhur të nënshkrimit të kodit të Validimit të Zgjeruar (EV) të lëshuar për DUC FABULOUS CO., LTD, një kompani me seli në Hanoi, Vietnam. Ripërdorimi i kësaj certifikate nëpër fushata të shumta të palidhura të programeve keqdashëse sugjeron qarkullim të gjerë brenda ekosistemit kiberkriminal. Kjo taktikë rrit legjitimitetin e perceptuar të skedarëve binare keqdashës dhe ndihmon në anashkalimin e mbrojtjeve të sigurisë.
Aftësi të Avancuara: Brenda AtlasCross RAT
AtlasCross RAT prezanton një sërë të fuqishme aftësish të projektuara për fshehtësi, këmbëngulje dhe kontroll. Ai integron framework-un PowerCell, një motor ekzekutimi C/C++ PowerShell vendas që integron .NET Common Language Runtime (CLR) direkt në procesin e malware-it.
Përpara ekzekutimit të komandave, programi keqdashës çaktivizon mekanizmat kryesorë të sigurisë, siç janë AMSI, ETW, Modaliteti i Gjuhës së Kufizuar dhe regjistrimi i ScriptBlock. Komunikimi me serverat e komandës dhe kontrollit është i enkriptuar duke përdorur ChaCha20 me çelësa të rastësishëm për paketë të gjeneruar nëpërmjet gjenerimit të numrave të rastësishëm të bazuar në harduer.
Funksionalitetet kryesore përfshijnë:
- Injeksion i synuar i DLL në WeChat
- Rrëmbimi i sesionit të Protokollit të Desktopit në Distancë (RDP)
- Ndërprerja e lidhjeve në nivel TCP nga mjetet kineze të sigurisë si 360 Safe, Huorong, Kingsoft dhe QQ PC Manager
- Manipulimi i sistemit të skedarëve dhe ekzekutimi i komandave të shell-it
- Këmbëngulje përmes krijimit të detyrave të planifikuara
Strategjia Operacionale: Mashtrim në Shkallë të Shkallës
Silver Fox përdor një strategji shumështresore të domenit për të ruajtur besueshmërinë dhe për të shmangur zbulimin. Kjo përfshin shtypjen e gabuar, rrëmbimin e domenit dhe manipulimin e DNS-it, shpesh të kombinuara me konventa emërtimi specifike për rajonin për të zvogëluar dyshimin e përdoruesit. Aftësia e grupit për të replikuar bindshëm shërbimet legjitime luan një rol kritik në efektivitetin e fushatës.
Zgjerimi i Vektorëve të Sulmit në të Gjithë Azinë
Që të paktën që nga dhjetori i vitit 2025, grupi ka zgjeruar operacionet e tij në shumë vende, duke përfshirë Japoninë, Malajzinë, Filipinet, Tajlandën, Indonezinë, Singaporin dhe Indinë. Metodat e sulmit kanë evoluar me kalimin e kohës, duke kaluar nga emailet e phishing me bashkëngjitje PDF me qëllim të keq, në abuzimin me mjete të ligjshme, por të konfiguruara gabimisht, të monitorimit dhe menaxhimit në distancë, siç është SyncFuture TSM.
Fushatat pasuese kanë përdorur gjithashtu një program vjedhës informacioni të bazuar në Python, të maskuar si një aplikacion WhatsApp. Aktiviteti i mëparshëm në janar 2026 përfshinte karrem me temë taksat që synonin përdoruesit indianë me malware Blackmoon.
Arsenal Fleksibël: Operacione Adaptive të Krimit Kibernetik
Silver Fox demonstron një shkallë të lartë fleksibiliteti operacional duke kombinuar familje dhe teknika të shumëfishta të programeve keqdashëse. Përdorimi i ValleyRAT së bashku me mjetet RMM dhe vjedhësit e personalizuar të bazuar në Python mundëson përshtatjen e shpejtë të zinxhirëve të infeksionit. Kjo shkathtësi mbështet si fushatat oportuniste në shkallë të gjerë ashtu edhe sulmet më të synuara dhe strategjike.
Grupi operon një model me dy pista, duke balancuar sulmet e përhapura me operacione më të sofistikuara të dizajnuara për akses afatgjatë në sistem dhe infiltrim më të thellë të rrjetit.
Precizioni i spear-phishing: Synimi i viktimave të korporatave
Përveç fushatave të gjera, Silver Fox kryen sulme të synuara si spear-phishing që synojnë industri specifike, veçanërisht prodhuesit japonezë. Këto sulme përdorin karremra shumë bindëse që lidhen me pajtueshmërinë tatimore, rregullimet e pagave, ndryshimet e punës dhe planet e pronësisë së aksioneve nga punonjësit.
Pasi të vendoset, ValleyRAT u mundëson sulmuesve të:
- Merrni kontroll të plotë nga distanca të sistemeve të infektuara
- Mbledh të dhëna të ndjeshme dhe financiare
- Monitoroni aktivitetin e përdoruesit në kohë reale
- Ruani qëndrueshmërinë brenda rrjetit
Ky nivel aksesi u lejon aktorëve kërcënues të përshkallëzojnë sulmet, të nxjerrin informacione konfidenciale dhe të përgatiten për faza të mëtejshme shfrytëzimi brenda mjediseve të kompromentuara.
