АтласКрос РАТ

Кампања сајбер напада великих размера активно циља кориснике који говоре кинески језик путем домена са грешкама у куцању који имитирају поуздане софтверске брендове. Ови обмањујући веб-сајтови су дизајнирани да дистрибуирају раније недокументовани тројански вирус за даљински приступ познат као AtlasCross RAT. Кампања користи поверење корисника у широко коришћене апликације, укључујући VPN клијенте, платформе за шифроване поруке, алате за видео конференције, праћење криптовалута и софтвер за електронску трговину.

Инфраструктура укључује једанаест потврђених злонамерних домена који се представљају као познати сервиси као што су Surfshark VPN, Signal, Telegram, Zoom и Microsoft Teams. Ово стратешко представљање повећава вероватноћу успешних инфекција искоришћавањем познатости бренда.

Профил актера претње: Колектив Силвер Фокс

Кампања се приписује плодној кинеској групи за сајбер криминал познатој као Силвер Фокс. Ова група делује под више псеудонима, укључујући СвимСнејк, Велики лопов долине (Долински лопов), УТГ-Кју-1000 и Војд Арахне. Истраживачи безбедности сматрају ову групу једном од најактивнијих сајбер претњи последњих година, посебно због сталног циљања менаџерског и финансијског особља унутар организација.

Силвер Фокс користи различите векторе инфекције као што су платформе за размену порука, фишинг имејлови и сајтови за дистрибуцију фалсификованог софтвера. Циљеви групе укључују даљинску контролу система, крађу осетљивих података и финансијске преваре.

Еволуција злонамерног софтвера: од Gh0st RAT-а до AtlasCross-а

Појава AtlasCross RAT-а означава значајан напредак у алатима за борбу против злонамерног софтвера компаније Silver Fox. Раније операције су се у великој мери ослањале на варијанте изведене из Gh0st RAT-а, укључујући ValleyRAT (такође познат као Winos 4.0), Gh0stCringe и HoldingHands RAT (Gh0stBins). AtlasCross представља софистициранију еволуцију, која укључује побољшане механизме прикривености, извршавања и истрајности.

Распад ланца инфекције: Од мамца до извршења

Ланац напада почиње лажним веб-сајтовима који варају кориснике да преузму ZIP архиве. Ове архиве садрже инсталатере који инсталирају и легитимну апликацију-мамац и тројанизовани бинарни фајл Autodesk-а. Злонамерни инсталатер покреће програм за учитавање шел кода који дешифрује уграђену конфигурацију изведену из Gh0st RAT-а.

Овај процес издваја детаље система „Command-and-Control“ (C2) и преузима корисни терет друге фазе са домена „bifa668.com“ преко TCP порта 9899. Завршна фаза резултира извршавањем AtlasCross RAT-а у меморији, значајно смањујући откривање традиционалним безбедносним алатима.

Злонамерна инфраструктура: Оружани домени

Кампања показује координисано подешавање инфраструктуре, при чему је већина злонамерних домена регистрована 27. октобра 2025. године, што указује на намерно планирање. Потврђени домени који се користе за испоруку злонамерног софтвера укључују:

app-zoom.com
eyy-eyy.com
kefubao-pc.com
quickq-quickq.com
signal-signal.com
telegrtam.com.cn
трезор-трезор.цом
ultraviewer-cn.com
wwtalk-app.com
www-surfshark.com
www-teams.com

Ови домени блиско имитирају легитимне сервисе, често укључујући суптилне типографске варијације или регионалне идентификаторе како би се избегла сумња.

Злоупотреба поверења: Украдени сертификати за потписивање кода

Сви идентификовани злонамерни инсталатери су потписани коришћењем истог украденог сертификата за потписивање кода са проширеном валидацијом (EV) издатог компанији DUC FABULOUS CO., LTD, са седиштем у Ханоју, Вијетнам. Поновна употреба овог сертификата у више неповезаних кампања злонамерног софтвера указује на широку циркулацију унутар екосистема сајбер криминала. Ова тактика побољшава перципирану легитимност злонамерних бинарних датотека и помаже у заобилажењу безбедносне одбране.

Напредне могућности: Унутар AtlasCross RAT-а

AtlasCross RAT представља моћан скуп могућности дизајнираних за прикривеност, истрајност и контролу. Интегрише PowerChell framework, изворни C/C++ PowerShell механизам за извршавање који уграђује .NET Common Language Runtime (CLR) директно у процес малвера.

Пре извршавања команди, злонамерни софтвер онемогућава кључне безбедносне механизме као што су AMSI, ETW, Constrained Language Mode и ScriptBlock логговање. Комуникација са командним и контролним серверима је шифрована помоћу ChaCha20 са случајним кључевима генерисаним по пакету путем генерисања случајних бројева на бази хардвера.

Кључне функционалности укључују:

• Циљана DLL инјекција у WeChat
• Отимање сесије протокола удаљене радне површине (RDP)
• Завршетак веза на нивоу TCP-а из кинеских безбедносних алата као што су 360 Safe, Huorong, Kingsoft и QQ PC Manager
• Манипулација фајл системом и извршавање команди шкољке
• Истрајност кроз креирање заказаних задатака

Оперативна стратегија: Обмана у великим размерама

Силвер Фокс користи вишеслојну стратегију домена како би одржао кредибилитет и избегао откривање. То укључује грешке у типографији, отмицу домена и манипулацију ДНС-ом, често у комбинацији са конвенцијама именовања специфичним за регион како би се смањила сумња корисника. Способност групе да убедљиво реплицира легитимне услуге игра кључну улогу у ефикасности кампање.

Ширење вектора напада широм Азије

Од најмање децембра 2025. године, група је проширила своје пословање на више земаља, укључујући Јапан, Малезију, Филипине, Тајланд, Индонезију, Сингапур и Индију. Методе напада су се временом развијале, прелазећи са фишинг имејлова са злонамерним PDF прилозима на злоупотребу легитимних, али погрешно конфигурисаних алата за даљинско праћење и управљање као што је SyncFuture TSM.

Накнадне кампање су такође користиле крађу информација засновану на Пајтону, прерушену у WhatsApp апликацију. Раније активности у јануару 2026. године укључивале су мамце са пореском тематиком усмерене на индијске кориснике са малвером Blackmoon.

Флексибилан арсенал: Адаптивне операције сајбер криминала

Силвер Фокс демонстрира висок степен оперативне флексибилности комбиновањем више породица и техника малвера. Употреба ValleyRAT-а заједно са RMM алатима и прилагођеним крађама софтвера заснованим на Пајтону омогућава брзу адаптацију ланаца инфекције. Ова свестраност подржава и велике опортунистичке кампање и циљаније, стратешке нападе.

Група користи двоструки модел, балансирајући широко распрострањене нападе са софистициранијим операцијама осмишљеним за дугорочни приступ систему и дубљу инфилтрацију мреже.

Прецизност фишинга: Циљање корпоративних жртава

Поред широких кампања, Силвер Фокс спроводи циљане фишинг нападе усмерене на одређене индустрије, посебно на јапанске произвођаче. Ови напади користе веома убедљиве мамце везане за поштовање пореских прописа, прилагођавање плата, промене посла и планове власништва над акцијама запослених.

Једном када се инсталира, ValleyRAT омогућава нападачима да:

• Добијте потпуну даљинску контролу над зараженим системима
• Прикупљање осетљивих и финансијских података
• Пратите активности корисника у реалном времену
• Одржавајте истрајност унутар мреже

Овај ниво приступа омогућава актерима претњи да ескалирају нападе, издају поверљиве информације и припреме се за даље фазе експлоатације у угроженим окружењима.