AtlasCross ЩУР
Масштабна кампанія кібератак активно спрямована на китайськомовних користувачів через домени з помилковими назвами, що імітують перевірені бренди програмного забезпечення. Ці шахрайські веб-сайти призначені для розповсюдження раніше недокументованого трояна віддаленого доступу, відомого як AtlasCross RAT. Кампанія використовує довіру користувачів до широко використовуваних програм, включаючи VPN-клієнти, платформи зашифрованого обміну повідомленнями, інструменти для відеоконференцій, трекери криптовалют та програмне забезпечення для електронної комерції.
Інфраструктура включає одинадцять підтверджених шкідливих доменів, що видають себе за відомі сервіси, такі як Surfshark VPN, Signal, Telegram, Zoom та Microsoft Teams. Така стратегічна імітація збільшує ймовірність успішного зараження, використовуючи знайомство з брендом.
Зміст
Профіль актора загрози: Колектив Срібної Лисиці
Кампанія приписується плідній китайській кіберзлочинній групі під назвою Silver Fox. Ця група діє під кількома псевдонімами, зокрема SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 та Void Arachne. Дослідники безпеки вважають цю групу однією з найактивніших кіберзагроз останніх років, зокрема через її постійні напади на управлінський та фінансовий персонал в організаціях.
Silver Fox використовує різноманітні вектори зараження, такі як платформи обміну повідомленнями, фішингові електронні листи та сайти розповсюдження підробленого програмного забезпечення. Цілі групи включають віддалений контроль над системою, викрадання конфіденційних даних та фінансове шахрайство.
Еволюція шкідливого програмного забезпечення: від Gh0st RAT до AtlasCross
Поява AtlasCross RAT знаменує собою значний прогрес у наборі шкідливих програм Silver Fox. Раніше операції значною мірою спиралися на варіанти, похідні від Gh0st RAT, включаючи ValleyRAT (також відомий як Winos 4.0), Gh0stCringe та HoldingHands RAT (Gh0stBins). AtlasCross являє собою більш досконалу еволюцію, що включає вдосконалені механізми прихованості, виконання та збереження.
Розбивка ланцюга зараження: від приманки до страти
Ланцюг атаки починається зі шахрайських веб-сайтів, які обманом змушують користувачів завантажувати ZIP-архіви. Ці архіви містять інсталятори, що розгортають як легітимну програму-приманку, так і троянований бінарний файл Autodesk. Шкідливий інсталятор ініціює завантажувач шелл-коду, який розшифровує вбудовану конфігурацію, отриману з Gh0st RAT.
Цей процес витягує дані системи командування та управління (C2) та отримує корисне навантаження другого етапу з домену «bifa668.com» через TCP-порт 9899. На останньому етапі AtlasCross RAT виконується в пам'яті, що значно знижує ризик виявлення традиційними засобами безпеки.
Шкідлива інфраструктура: домени, що перетворюються на зброю
Кампанія демонструє скоординовану налаштування інфраструктури, причому більшість шкідливих доменів було зареєстровано 27 жовтня 2025 року, що свідчить про навмисне планування. Підтверджені домени, що використовуються для доставки шкідливого програмного забезпечення, включають:
app-zoom.com
eyy-eyy.com
kefubao-pc.com
quickq-quickq.com
signal-signal.com
telegrtam.com.cn
trezor-trezor.com
ultraviewer-cn.com
wwtalk-app.com
www-surfshark.com
www-teams.com
Ці домени дуже точно імітують легітимні сервіси, часто включаючи ледь помітні типографічні варіації або регіональні ідентифікатори, щоб уникнути підозр.
Зловживання довірою: викрадені сертифікати для підпису коду
Усі виявлені шкідливі інсталятори підписані за допомогою того самого викраденого сертифіката підпису коду з розширеною перевіркою (EV), виданого DUC FABULOUS CO., LTD, компанії, що базується в Ханої, В'єтнам. Повторне використання цього сертифіката в кількох непов'язаних між собою кампаніях зі шкідливим програмним забезпеченням свідчить про його широке поширення в екосистемі кіберзлочинців. Така тактика підвищує сприйняття легітимності шкідливих бінарних файлів і допомагає обійти засоби безпеки.
Розширені можливості: Всередині AtlasCross RAT
AtlasCross RAT пропонує потужний набір можливостей, розроблених для прихованості, стійкості та контролю. Він інтегрує фреймворк PowerChell, власний механізм виконання C/C++ PowerShell, який вбудовує середовище виконання .NET Common Language Runtime (CLR) безпосередньо в процес роботи шкідливого програмного забезпечення.
Перед виконанням команд шкідливе програмне забезпечення вимикає ключові механізми безпеки, такі як AMSI, ETW, режим обмеженої мови та ведення журналу ScriptBlock. Зв'язок із серверами керування та управління шифрується за допомогою ChaCha20 з випадковими ключами, що генеруються для кожного пакету за допомогою апаратної генерації випадкових чисел.
Ключові функціональні можливості включають:
- Цільова ін'єкція DLL у WeChat
- Викрадання сеансу протоколу віддаленого робочого столу (RDP)
- Завершення з'єднань на рівні TCP з китайських інструментів безпеки, таких як 360 Safe, Huorong, Kingsoft та QQ PC Manager
- Маніпулювання файловою системою та виконання команд оболонки
- Збереження завдяки створенню запланованих завдань
Оперативна стратегія: обман у великих масштабах
Silver Fox використовує багаторівневу стратегію домену для підтримки довіри та уникнення виявлення. Це включає помилки автора, захоплення домену та маніпуляції з DNS, часто поєднуючи це з регіонально-специфічними правилами іменування, щоб зменшити підозри користувачів. Здатність групи переконливо відтворювати легітимні сервіси відіграє вирішальну роль в ефективності кампанії.
Розширення векторів атак по всій Азії
Принаймні з грудня 2025 року група розширила свою діяльність на кілька країн, включаючи Японію, Малайзію, Філіппіни, Таїланд, Індонезію, Сінгапур та Індію. Методи атак з часом еволюціонували, переходячи від фішингових електронних листів зі шкідливими PDF-файлами до зловживання легітимними, але неправильно налаштованими інструментами віддаленого моніторингу та управління, такими як SyncFuture TSM.
У наступних кампаніях також було застосовано програму для крадіжки інформації на основі Python, замасковану під додаток WhatsApp. Раніше, у січні 2026 року, було застосовано податкові приманки, спрямовані на індійських користувачів за допомогою шкідливого програмного забезпечення Blackmoon.
Гнучкий арсенал: адаптивні операції з кіберзлочинності
Silver Fox демонструє високий ступінь операційної гнучкості, поєднуючи різні сімейства та методи шкідливих програм. Використання ValleyRAT разом із інструментами RMM та спеціальними викрадачами на базі Python дозволяє швидко адаптуватися до ланцюгів зараження. Ця універсальність підтримує як масштабні опортуністичні кампанії, так і більш цілеспрямовані, стратегічні атаки.
Група працює за двосторонньою моделлю, балансуючи між широкомасштабними атаками та більш складними операціями, розробленими для довгострокового доступу до системи та глибшого проникнення в мережу.
Точність фішингу: атака на корпоративних жертв
Окрім широких кампаній, Silver Fox проводить цілеспрямовані фішингові атаки, спрямовані на конкретні галузі, зокрема на японських виробників. Ці атаки використовують дуже переконливі приманки, пов’язані з дотриманням податкового законодавства, коригуванням заробітної плати, зміною роботи та планами володіння акціями співробітниками.
Після розгортання ValleyRAT дозволяє зловмисникам:
- Отримайте повний віддалений контроль над зараженими системами
- Збір конфіденційних та фінансових даних
- Відстежуйте активність користувачів у режимі реального часу
- Зберігайте стійкість у мережі
Такий рівень доступу дозволяє зловмисникам ескалювати атаки, витягувати конфіденційну інформацію та готуватися до подальших етапів експлуатації в скомпрометованих середовищах.
