Rabattoffert för flera licenser
Hotdatabas Skadlig programvara AtlasCross RAT

AtlasCross RAT

Med Mezo år Skadlig programvara, Advanced Persistent Threat (APT), Fjärradministrationsverktyg
Översätt till:

En storskalig cyberattackkampanj riktar sig aktivt mot kinesisktalande användare genom typosquattade domäner som imiterar betrodda programvarumärken. Dessa vilseledande webbplatser är utformade för att distribuera en tidigare odokumenterad fjärråtkomsttrojan som kallas AtlasCross RAT. Kampanjen utnyttjar användarnas förtroende för allmänt använda applikationer, inklusive VPN-klienter, krypterade meddelandeplattformar, videokonferensverktyg, kryptovalutaspårare och e-handelsprogramvara.

Infrastrukturen omfattar elva bekräftade skadliga domäner som utger sig för att vara välkända tjänster som Surfshark VPN, Signal, Telegram, Zoom och Microsoft Teams. Denna strategiska imitation ökar sannolikheten för framgångsrika infektioner genom att utnyttja varumärkeskännedom.

Profil av hotbild: Silver Fox-kollektivet

Kampanjen har tillskrivits en produktiv kinesisk cyberbrottsgrupp känd som Silver Fox. Denna grupp verkar under flera alias, inklusive SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 och Void Arachne. Säkerhetsforskare anser att denna grupp är ett av de mest aktiva cyberhoten på senare år, särskilt på grund av dess ihållande inriktning på chefer och ekonomipersonal inom organisationer.

Silver Fox använder sig av olika infektionsvektorer såsom meddelandeplattformar, nätfiske-e-postmeddelanden och distributionssajter för förfalskad programvara. Gruppens mål inkluderar fjärrstyrning av system, utmätning av känsliga uppgifter och ekonomiskt bedrägeri.

Utvecklingen av skadlig kod: Från Gh0st RAT till AtlasCross

Framväxten av AtlasCross RAT markerar ett betydande framsteg i Silver Fox verktygslåda för skadlig kod. Tidigare operationer förlitade sig i hög grad på varianter härledda från Gh0st RAT, inklusive ValleyRAT (även känd som Winos 4.0), Gh0stCringe och HoldingHands RAT (Gh0stBins). AtlasCross representerar en mer sofistikerad utveckling, med förbättrade mekanismer för stealth, exekvering och persistens.

Uppdelning av infektionskedjan: Från lockelse till avrättning

Attackkedjan börjar med bedrägliga webbplatser som lurar användare att ladda ner ZIP-arkiv. Dessa arkiv innehåller installationsprogram som distribuerar både en legitim lockbetesprogramvara och en trojaniserad Autodesk-binärfil. Det skadliga installationsprogrammet initierar en shellcode-laddare som dekrypterar en inbäddad konfiguration som härrör från Gh0st RAT.

Denna process extraherar kommando-och-kontroll (C2)-information och hämtar en nyttolast i det andra steget från domänen 'bifa668.com' via TCP-port 9899. Det sista steget resulterar i att AtlasCross RAT körs i minnet, vilket avsevärt minskar detekteringen av traditionella säkerhetsverktyg.

Skadlig infrastruktur: Beväpnade domäner

Kampanjen visar på en samordnad infrastrukturuppsättning, där de flesta skadliga domäner registrerades den 27 oktober 2025, vilket indikerar avsiktlig planering. Bekräftade domäner som används för leverans av skadlig kod inkluderar:

app-zoom.com
eyy-eyy.com
kefubao-pc.com
quickq-quickq.com
signal-signal.com
telegrtam.com.cn
trezor-trezor.com
ultraviewer-cn.com
wwtalk-app.com
www-surfshark.com
www-teams.com

Dessa domäner efterliknar nära legitima tjänster och innehåller ofta subtila typografiska variationer eller regionala identifierare för att undvika misstankar.

Missbruk av förtroende: Stulna kodsigneringscertifikat

Alla identifierade skadliga installationsprogram signeras med samma stulna Extended Validation (EV) kodsigneringscertifikat som utfärdats till DUC FABULOUS CO., LTD, ett företag baserat i Hanoi, Vietnam. Återanvändningen av detta certifikat i flera orelaterade skadliga kampanjer tyder på utbredd spridning inom det cyberkriminella ekosystemet. Denna taktik förstärker den upplevda legitimiteten hos skadliga binärfiler och hjälper till att kringgå säkerhetsförsvar.

Avancerade funktioner: Inuti AtlasCross RAT

AtlasCross RAT introducerar en kraftfull uppsättning funktioner utformade för stealth, persistens och kontroll. Den integrerar PowerChell-ramverket, en inbyggd C/C++ PowerShell-körningsmotor som bäddar in .NET Common Language Runtime (CLR) direkt i skadlig kodprocess.

Innan kommandon körs inaktiverar den skadliga programvaran viktiga säkerhetsmekanismer som AMSI, ETW, Constrained Language Mode och ScriptBlock-loggning. Kommunikation med kommando- och kontrollservrar krypteras med ChaCha20 med slumpmässiga nycklar per paket som genereras via hårdvarubaserad slumptalsgenerering.

Viktiga funktioner inkluderar:

  • Riktad DLL-injektion i WeChat
  • Kapning av RDP-sessioner (Remote Desktop Protocol)
  • Avslutande av anslutningar på TCP-nivå från kinesiska säkerhetsverktyg som 360 Safe, Huorong, Kingsoft och QQ PC Manager
  • Manipulering av filsystem och körning av shellkommandon
  • Persistens genom schemalagd uppgiftsskapande

Operativ strategi: Bedrägeri i stor skala

Silver Fox använder en flerskiktad domänstrategi för att upprätthålla trovärdighet och undvika upptäckt. Detta inkluderar typosquatting, domänkapning och DNS-manipulation, ofta i kombination med regionspecifika namngivningskonventioner för att minska användarmisstankar. Gruppens förmåga att övertygande replikera legitima tjänster spelar en avgörande roll för kampanjens effektivitet.

Expanderande attackvektorer över hela Asien

Sedan åtminstone december 2025 har gruppen expanderat sin verksamhet till flera länder, inklusive Japan, Malaysia, Filippinerna, Thailand, Indonesien, Singapore och Indien. Attackmetoderna har utvecklats över tid och gått från nätfiskemejl med skadliga PDF-bilagor till missbruk av legitima men felkonfigurerade fjärrövervaknings- och hanteringsverktyg som SyncFuture TSM.

Efterföljande kampanjer har också använt en Python-baserad informationsstöld förklädd till en WhatsApp-applikation. Tidigare aktivitet i januari 2026 involverade skatterelaterade lockbete som riktade sig mot indiska användare med Blackmoon-skadlig programvara.

Flexibel arsenal: Anpassningsbara cyberbrottsoperationer

Silver Fox uppvisar en hög grad av operativ flexibilitet genom att kombinera flera familjer av skadlig kod och tekniker. Användningen av ValleyRAT tillsammans med RMM-verktyg och anpassade Python-baserade stealers möjliggör snabb anpassning av infektionskedjor. Denna mångsidighet stöder både storskaliga opportunistiska kampanjer och mer riktade, strategiska attacker.

Gruppen använder en tvåspårig modell som balanserar utbredda attacker med mer sofistikerade operationer utformade för långsiktig systemåtkomst och djupare nätverksinfiltration.

Spear-Phishing Precision: Riktning mot företagsoffer

Utöver breda kampanjer genomför Silver Fox riktade spear-phishing-attacker riktade mot specifika branscher, särskilt japanska tillverkare. Dessa attacker använder mycket övertygande lockbete relaterade till skatteefterlevnad, lönejusteringar, jobbbyten och aktieägarplaner för anställda.

När ValleyRAT väl är driftsatt kan angripare:

  • Få fullständig fjärrkontroll över infekterade system
  • Insamling av känsliga och finansiella data
  • Övervaka användaraktivitet i realtid
  • Behåll uthålligheten inom nätverket

Denna åtkomstnivå gör det möjligt för hotaktörer att eskalera attacker, strö konfidentiell information och förbereda sig för ytterligare utnyttjandefaser i komprometterade miljöer.

Trendigt

Mest sedda

Läser in...