AtlasCross RAT

Isang malawakang kampanya sa cyberattack ang aktibong nagta-target sa mga gumagamit na nagsasalita ng Chinese sa pamamagitan ng mga typosquatted domain na ginagaya ang mga pinagkakatiwalaang brand ng software. Ang mga mapanlinlang na website na ito ay dinisenyo upang mamahagi ng isang dating hindi dokumentadong remote access trojan na kilala bilang AtlasCross RAT. Ginagamit ng kampanya ang tiwala ng gumagamit sa malawakang ginagamit na mga application, kabilang ang mga VPN client, mga naka-encrypt na platform ng pagmemensahe, mga tool sa video conferencing, mga cryptocurrency tracker, at e-commerce software.

Kabilang sa imprastraktura ang labing-isang kumpirmadong malisyosong domain na nagpapanggap na kilalang serbisyo tulad ng Surfshark VPN, Signal, Telegram, Zoom, at Microsoft Teams. Ang estratehikong pagpapanggap na ito ay nagpapataas ng posibilidad ng matagumpay na impeksyon sa pamamagitan ng pagsasamantala sa pamilyaridad ng brand.

Profile ng Aktor na Nagbabanta: The Silver Fox Collective

Ang kampanya ay iniuugnay sa isang masaganang grupo ng cybercrime sa Tsina na kilala bilang Silver Fox. Ang grupong ito ay nagpapatakbo sa ilalim ng maraming alyas, kabilang ang SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000, at Void Arachne. Itinuturing ng mga mananaliksik sa seguridad ang grupong ito na isa sa mga pinakaaktibong banta sa cyber nitong mga nakaraang taon, lalo na dahil sa patuloy nitong pag-target sa mga tauhan ng pamamahala at pananalapi sa loob ng mga organisasyon.

Gumagamit ang Silver Fox ng iba't ibang uri ng tagapagdala ng impeksyon tulad ng mga platform ng pagmemensahe, mga phishing email, at mga site ng pamamahagi ng mga pekeng software. Kabilang sa mga layunin ng grupo ang remote system control, pagkuha ng sensitibong data, at pandaraya sa pananalapi.

Ebolusyon ng Malware: Mula sa Gh0st RAT hanggang sa AtlasCross

Ang paglitaw ng AtlasCross RAT ay nagmamarka ng isang makabuluhang pagsulong sa toolkit ng malware ng Silver Fox. Ang mga naunang operasyon ay lubos na umaasa sa mga variant na nagmula sa Gh0st RAT, kabilang ang ValleyRAT (kilala rin bilang Winos 4.0), Gh0stCringe, at HoldingHands RAT (Gh0stBins). Ang AtlasCross ay kumakatawan sa isang mas sopistikadong ebolusyon, na isinasama ang pinahusay na mga mekanismo ng stealth, execution, at persistence.

Pagbubunyag ng Kadena ng Impeksyon: Mula Pang-akit Hanggang Pagpatay

Nagsisimula ang kadena ng pag-atake sa mga mapanlinlang na website na nanlilinlang sa mga user na mag-download ng mga ZIP archive. Ang mga archive na ito ay naglalaman ng mga installer na nagde-deploy ng parehong lehitimong decoy application at isang trojanized na Autodesk binary. Sinisimulan ng malisyosong installer ang isang shellcode loader na nagde-decrypt ng isang naka-embed na configuration na nagmula sa Gh0st RAT.

Kinukuha ng prosesong ito ang mga detalye ng Command-and-Control (C2) at kinukuha ang isang pangalawang yugto ng payload mula sa domain na 'bifa668.com' sa pamamagitan ng TCP port 9899. Ang huling yugto ay nagreresulta sa in-memory execution ng AtlasCross RAT, na makabuluhang binabawasan ang detection ng mga tradisyunal na security tool.

Malisyosong Imprastraktura: Mga Domain na Ginamit ang Sandata

Ipinapakita ng kampanya ang isang koordinadong pag-setup ng imprastraktura, kung saan karamihan sa mga malisyosong domain ay nakarehistro noong Oktubre 27, 2025, na nagpapahiwatig ng sinasadyang pagpaplano. Ang mga kumpirmadong domain na ginamit para sa paghahatid ng malware ay kinabibilangan ng:

app-zoom.com
eyy-eyy.com
kefubao-pc.com
quickq-quickq.com
signal-signal.com
telegrtam.com.cn
trezor-trezor.com
ultraviewer-cn.com
wwwtalk-app.com
www-surfshark.com
www-teams.com

Ang mga domain na ito ay halos ginagaya ang mga lehitimong serbisyo, kadalasang isinasama ang mga banayad na baryasyon sa tipograpikal o mga pantukoy sa rehiyon upang maiwasan ang hinala.

Pang-aabuso sa Tiwala: Mga Ninakaw na Sertipiko ng Paglagda ng Kodigo

Ang lahat ng natukoy na malisyosong installer ay nilagdaan gamit ang parehong ninakaw na Extended Validation (EV) code-signing certificate na inisyu sa DUC FABULOUS CO., LTD, isang kumpanyang nakabase sa Hanoi, Vietnam. Ang muling paggamit ng sertipikong ito sa maraming hindi magkakaugnay na kampanya ng malware ay nagmumungkahi ng malawakang sirkulasyon sa loob ng cybercriminal ecosystem. Pinahuhusay ng taktikang ito ang nakikitang lehitimidad ng mga malisyosong binary at nakakatulong na malampasan ang mga depensa sa seguridad.

Mga Advanced na Kakayahan: Sa Loob ng AtlasCross RAT

Ipinakikilala ng AtlasCross RAT ang isang makapangyarihang hanay ng mga kakayahan na idinisenyo para sa stealth, persistence, at control. Isinasama nito ang PowerChell framework, isang native C/C++ PowerShell execution engine na direktang nag-eembed ng .NET Common Language Runtime (CLR) sa proseso ng malware.

Bago isagawa ang mga utos, hindi pinapagana ng malware ang mga pangunahing mekanismo ng seguridad tulad ng AMSI, ETW, Constrained Language Mode, at ScriptBlock logging. Ang komunikasyon sa mga command-and-control server ay naka-encrypt gamit ang ChaCha20 na may mga random key bawat packet na nabubuo sa pamamagitan ng pagbuo ng random number batay sa hardware.

Kabilang sa mga pangunahing tungkulin ang:

• Naka-target na DLL injection sa WeChat
• Pag-hijack ng sesyon ng Remote Desktop Protocol (RDP)
• Pagtatapos ng mga koneksyon sa antas ng TCP mula sa mga tool sa seguridad ng Tsina tulad ng 360 Safe, Huorong, Kingsoft, at QQ PC Manager
• Pagmamanipula ng file system at pagpapatupad ng utos ng shell
• Pagtitiyaga sa pamamagitan ng naka-iskedyul na paglikha ng gawain

Istratehiya sa Operasyon: Panlilinlang sa Lawak

Gumagamit ang Silver Fox ng multi-layered domain strategy upang mapanatili ang kredibilidad at maiwasan ang pagtuklas. Kabilang dito ang typosquatting, domain hijacking, at DNS manipulation, na kadalasang isinasama sa mga rehiyon-specific na pagpapangalan upang mabawasan ang hinala ng user. Ang kakayahan ng grupo na kumbinsihin ang mga lehitimong serbisyo na gayahin ang mga ito nang may kumbinsisyon ay may mahalagang papel sa bisa ng kampanya.

Pagpapalawak ng mga Salik ng Pag-atake sa Buong Asya

Simula noong Disyembre 2025, pinalawak na ng grupo ang mga operasyon nito sa maraming bansa, kabilang ang Japan, Malaysia, Pilipinas, Thailand, Indonesia, Singapore, at India. Ang mga pamamaraan ng pag-atake ay umunlad sa paglipas ng panahon, mula sa mga phishing email na may mga malisyosong PDF attachment patungo sa pang-aabuso ng mga lehitimo ngunit maling na-configure na remote monitoring at management tool tulad ng SyncFuture TSM.

Naglunsad din ang mga kasunod na kampanya ng isang Python-based information stealer na nagbalatkayo bilang isang WhatsApp application. Ang mga naunang aktibidad noong Enero 2026 ay kinasasangkutan ng mga pang-akit na may temang buwis na tumatarget sa mga gumagamit ng India gamit ang Blackmoon malware.

Flexible Arsenal: Mga Operasyon ng Cybercrime na May Adaptasyon

Nagpapakita ang Silver Fox ng mataas na antas ng kakayahang umangkop sa operasyon sa pamamagitan ng pagsasama-sama ng maraming pamilya at pamamaraan ng malware. Ang paggamit ng ValleyRAT kasama ng mga RMM tool at mga custom na Python-based stealer ay nagbibigay-daan sa mabilis na pag-aangkop ng mga infection chain. Ang kakayahang umangkop na ito ay sumusuporta sa parehong malakihang oportunistikong mga kampanya at mas naka-target at madiskarteng mga pag-atake.

Ang grupo ay nagpapatakbo ng isang dual-track na modelo, na nagbabalanse sa malawakang pag-atake na may mas sopistikadong mga operasyon na idinisenyo para sa pangmatagalang pag-access sa sistema at mas malalim na paglusot sa network.

Spear-Phishing Precision: Pag-target sa mga Biktima ng Korporasyon

Bukod sa malawakang mga kampanya, nagsasagawa rin ang Silver Fox ng mga naka-target na spear-phishing na pag-atake na naglalayong sa mga partikular na industriya, lalo na sa mga tagagawa ng Hapon. Ang mga pag-atakeng ito ay gumagamit ng lubos na nakakakumbinsing mga pang-akit na may kaugnayan sa pagsunod sa buwis, mga pagsasaayos ng suweldo, pagpapalit ng trabaho, at mga plano sa pagmamay-ari ng stock ng empleyado.

Kapag na-deploy na, binibigyang-daan ng ValleyRAT ang mga umaatake na:

• Magkaroon ng ganap na remote control ng mga nahawaang sistema
• Kunin ang sensitibo at pinansyal na datos
• Subaybayan ang aktibidad ng gumagamit sa totoong oras
• Panatilihin ang katatagan sa loob ng network

Ang antas ng pag-access na ito ay nagbibigay-daan sa mga aktor ng banta na palalain ang mga pag-atake, ilabas ang kumpidensyal na impormasyon, at maghanda para sa mga karagdagang yugto ng pagsasamantala sa loob ng mga nakompromisong kapaligiran.