AtlasCross RAT

Büyük ölçekli bir siber saldırı kampanyası, güvenilir yazılım markalarını taklit eden yazım hatalı alan adları aracılığıyla Çince konuşan kullanıcıları aktif olarak hedef alıyor. Bu aldatıcı web siteleri, AtlasCross RAT olarak bilinen, daha önce belgelenmemiş bir uzaktan erişim truva atını dağıtmak üzere tasarlanmıştır. Kampanya, VPN istemcileri, şifreli mesajlaşma platformları, video konferans araçları, kripto para takip cihazları ve e-ticaret yazılımları da dahil olmak üzere yaygın olarak kullanılan uygulamalara duyulan kullanıcı güveninden yararlanıyor.

Altyapı, Surfshark VPN, Signal, Telegram, Zoom ve Microsoft Teams gibi tanınmış hizmetleri taklit eden on bir adet doğrulanmış kötü amaçlı alan adını içeriyor. Bu stratejik taklit, marka bilinirliğinden yararlanarak başarılı enfeksiyon olasılığını artırıyor.

Tehdit Aktörü Profili: Gümüş Tilki Kolektifi

Bu saldırının, Silver Fox olarak bilinen ve oldukça aktif bir Çinli siber suç grubu tarafından gerçekleştirildiği belirtiliyor. Bu grup, SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 ve Void Arachne gibi çeşitli takma adlar altında faaliyet gösteriyor. Güvenlik araştırmacıları, özellikle kuruluşlardaki yönetim ve finans personeline yönelik sürekli hedef almaları nedeniyle, bu grubu son yılların en aktif siber tehditlerinden biri olarak değerlendiriyor.

Silver Fox, mesajlaşma platformları, kimlik avı e-postaları ve sahte yazılım dağıtım siteleri gibi çeşitli bulaşma yöntemleri kullanmaktadır. Grubun hedefleri arasında uzaktan sistem kontrolü, hassas veri sızdırma ve mali dolandırıcılık yer almaktadır.

Kötü Amaçlı Yazılımların Evrimi: Gh0st RAT'tan AtlasCross'a

AtlasCross RAT'ın ortaya çıkışı, Silver Fox'un kötü amaçlı yazılım araç setinde önemli bir ilerlemeyi işaret ediyor. Daha önceki operasyonlar, ValleyRAT (Winos 4.0 olarak da bilinir), Gh0stCringe ve HoldingHands RAT (Gh0stBins) dahil olmak üzere Gh0st RAT'tan türetilen varyantlara büyük ölçüde dayanıyordu. AtlasCross, gelişmiş gizlilik, yürütme ve kalıcılık mekanizmalarını içeren daha sofistike bir evrimi temsil ediyor.

Enfeksiyon Zincirinin Parçalanması: Tuzaktan Uygulamaya

Saldırı zinciri, kullanıcıları ZIP arşivlerini indirmeye kandıran sahte web siteleriyle başlar. Bu arşivler, hem meşru bir sahte uygulama hem de truva atı bulaşmış bir Autodesk ikili dosyasını kuran yükleyiciler içerir. Kötü amaçlı yükleyici, Gh0st RAT'tan türetilmiş gömülü bir yapılandırmayı şifresini çözen bir shellcode yükleyiciyi başlatır.

Bu işlem, Komuta ve Kontrol (C2) ayrıntılarını çıkarır ve TCP 9899 portu üzerinden 'bifa668.com' alan adından ikinci aşama yükünü alır. Son aşama, AtlasCross RAT'ın bellekte çalıştırılmasıyla sonuçlanır ve geleneksel güvenlik araçları tarafından tespit edilme olasılığını önemli ölçüde azaltır.

Kötü Amaçlı Altyapı: Silahlandırılmış Alan Adları

Kampanya, koordineli bir altyapı kurulumunu ortaya koyuyor; kötü amaçlı alan adlarının çoğu 27 Ekim 2025'te kaydedilmiş olup, bu da kasıtlı bir planlamaya işaret ediyor. Kötü amaçlı yazılım dağıtımı için kullanıldığı doğrulanan alan adları şunlardır:

app-zoom.com
eyy-eyy.com
kefubao-pc.com
quickq-quickq.com
signal-signal.com
telegrtam.com.cn
trezor-trezor.com
ultraviewer-cn.com
wwtalk-app.com
www-surfshark.com
www-teams.com

Bu alan adları, şüphe uyandırmamak için genellikle ince tipografik farklılıklar veya bölgesel tanımlayıcılar kullanarak meşru hizmetleri yakından taklit eder.

Güvenin Kötüye Kullanılması: Çalınan Kod İmzalama Sertifikaları

Tespit edilen tüm kötü amaçlı yükleyiciler, Vietnam'ın Hanoi şehrinde bulunan DUC FABULOUS CO., LTD şirketine verilen aynı çalınmış Genişletilmiş Doğrulama (EV) kod imzalama sertifikası kullanılarak imzalanmıştır. Bu sertifikanın birden fazla ilgisiz kötü amaçlı yazılım kampanyasında yeniden kullanılması, siber suçlu ekosistemi içinde yaygın bir dolaşıma işaret etmektedir. Bu taktik, kötü amaçlı ikili dosyaların algılanan meşruiyetini artırır ve güvenlik savunmalarını atlatmaya yardımcı olur.

Gelişmiş Özellikler: AtlasCross RAT'ın İç Yüzü

AtlasCross RAT, gizlilik, kalıcılık ve kontrol için tasarlanmış güçlü bir dizi yetenek sunar. .NET Ortak Dil Çalışma Zamanı (CLR) ortamını doğrudan kötü amaçlı yazılım sürecine yerleştiren yerel bir C/C++ PowerShell yürütme motoru olan PowerShell çerçevesini entegre eder.

Kötü amaçlı yazılım, komutları çalıştırmadan önce AMSI, ETW, Kısıtlı Dil Modu ve ScriptBlock günlük kaydı gibi temel güvenlik mekanizmalarını devre dışı bırakır. Komuta ve kontrol sunucularıyla iletişim, donanım tabanlı rastgele sayı üretimi yoluyla oluşturulan paket başına rastgele anahtarlar kullanılarak ChaCha20 ile şifrelenir.

Başlıca işlevler şunlardır:

• WeChat'e hedefli DLL enjeksiyonu
• Uzak Masaüstü Protokolü (RDP) oturum ele geçirme
• 360 Safe, Huorong, Kingsoft ve QQ PC Manager gibi Çin menşeli güvenlik araçlarından gelen bağlantıların TCP düzeyinde sonlandırılması.
• Dosya sistemi manipülasyonu ve kabuk komutlarının yürütülmesi
• Planlı görev oluşturma yoluyla azim

Operasyonel Strateji: Büyük Ölçekli Aldatma

Silver Fox, güvenilirliğini korumak ve tespit edilmekten kaçınmak için çok katmanlı bir alan adı stratejisi kullanmaktadır. Bu strateji, yazım hatasıyla alan adı ele geçirme, alan adı gaspı ve DNS manipülasyonunu içerir ve genellikle kullanıcı şüphesini azaltmak için bölgeye özgü adlandırma kurallarıyla birleştirilir. Grubun meşru hizmetleri ikna edici bir şekilde taklit edebilme yeteneği, kampanyanın etkinliğinde kritik bir rol oynamaktadır.

Asya genelinde saldırı vektörlerinin genişlemesi

En az Aralık 2025'ten beri grup, Japonya, Malezya, Filipinler, Tayland, Endonezya, Singapur ve Hindistan dahil olmak üzere birçok ülkeye faaliyetlerini genişletti. Saldırı yöntemleri zaman içinde evrim geçirerek, kötü amaçlı PDF ekleri içeren kimlik avı e-postalarından, SyncFuture TSM gibi meşru ancak yanlış yapılandırılmış uzaktan izleme ve yönetim araçlarının kötüye kullanılmasına kadar değişti.

Sonraki kampanyalarda, WhatsApp uygulaması kılığında gizlenmiş Python tabanlı bir bilgi hırsızı da kullanıldı. Ocak 2026'daki önceki faaliyetler ise, Blackmoon kötü amaçlı yazılımıyla Hintli kullanıcıları hedef alan vergi temalı tuzakları içeriyordu.

Esnek Cephanelik: Uyarlanabilir Siber Suç Operasyonları

Silver Fox, birden fazla kötü amaçlı yazılım ailesini ve tekniğini birleştirerek yüksek derecede operasyonel esneklik sergiliyor. ValleyRAT'ın RMM araçları ve özel Python tabanlı hırsız yazılımlarla birlikte kullanılması, enfeksiyon zincirlerinin hızlı bir şekilde uyarlanmasını sağlıyor. Bu çok yönlülük, hem büyük ölçekli fırsatçı kampanyaları hem de daha hedefli, stratejik saldırıları destekliyor.

Grup, geniş çaplı saldırıları, uzun vadeli sistem erişimi ve daha derin ağ sızması için tasarlanmış daha karmaşık operasyonlarla dengeleyen çift yönlü bir modelle çalışmaktadır.

Hedefli Oltalama Saldırıları: Kurumsal Kurbanları Hedeflemek

Geniş kapsamlı kampanyalara ek olarak, Silver Fox özellikle Japon üreticileri olmak üzere belirli sektörleri hedef alan hedefli oltalama saldırıları da gerçekleştiriyor. Bu saldırılarda vergi uyumluluğu, maaş düzenlemeleri, iş değişiklikleri ve çalışan hisse senedi sahipliği planlarıyla ilgili son derece inandırıcı yemler kullanılıyor.

ValleyRAT devreye alındıktan sonra, saldırganlara şunları yapma olanağı sağlar:

• Virüs bulaşmış sistemlerin tam uzaktan kontrolünü ele geçirin.
• Hassas ve finansal verileri toplayın.
• Kullanıcı etkinliğini gerçek zamanlı olarak izleyin.
• Ağ içinde sürekliliği koruyun.

Bu erişim düzeyi, tehdit aktörlerinin saldırıları tırmandırmasına, gizli bilgileri sızdırmasına ve ele geçirilen ortamlarda daha ileri istismar aşamalarına hazırlanmasına olanak tanır.