Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Silver Fox ја проширува сајбер кампањата во Азија со AtlasCross RAT и лажни домени

Објавено: 01.04.2026

Корисници што зборуваат кинески се цел на активна кампања која користи домени со намерни правописни грешки (typosquatting), имитирајќи доверливи софтверски брендови за да испорача претходно недокументиран remote access тројанец наречен AtlasCross RAT.

„Операцијата опфаќа VPN клиенти, енкриптирани месинџери, алатки за видео-конференции, криптовалутни тракери и е-commerce апликации, со единаесет потврдени домени за дистрибуција што имитираат брендови како Surfshark VPN, Signal, Telegram, Zoom, Microsoft Teams и други,“ соопшти германската компанија за сајбер-безбедност Hexastrike во извештај објавен минатата недела.

Активноста му се припишува на кинеска сајберкриминална група наречена Silver Fox, која е позната и под имињата SwimSnake, The Great Thief of Valley (или Valley Thief), UTG-Q-1000 и Void Arachne.

Откривањето на AtlasCross RAT претставува еволуција на арсеналот на оваа група, која претходно користеше варијанти на Gh0st RAT како ValleyRAT (познат и како Winos 4.0), Gh0stCringe и HoldingHands RAT (Gh0stBins).

Нападите се изведуваат преку лажни веб-страници што ги мамат корисниците да преземат ZIP архиви кои содржат инсталер. Овој инсталер поставува компромитирана (trojanized) Autodesk извршна датотека заедно со легитимна апликација како мамка.

Компромитираниот Autodesk инсталер потоа стартува loader со shellcode, кој дешифрира вградена конфигурација од Gh0st RAT за да ги извлече податоците за command-and-control (C2), а потоа презема втор степен payload од доменот „bifa668[.]com“ преку TCP порт 9899. Ова на крај доведува до извршување на AtlasCross RAT директно во меморија.

Поголемиот дел од лажните веб-страници биле регистрирани во еден ден — 27 октомври 2025 година — што укажува на добро координирана кампања. Потврдените домени за дистрибуција на малициозен софтвер вклучуваат:

  • app-zoom.com (Zoom)
  • eyy-eyy.com (непознато)
  • kefubao-pc.com (KeFuBao)
  • quickq-quickq.com (QuickQ VPN)
  • signal-signal.com (Signal)
  • telegrtam.com.cn (Telegram)
  • trezor-trezor.com (Trezor)
  • ultraviewer-cn.com (UltraViewer)
  • wwtalk-app.com (WangWang)
  • www-surfshark.com (Surfshark VPN)
  • www-teams.com (Microsoft Teams)

Сите идентификувани инсталер пакети користеле ист украден Extended Validation (EV) сертификат за дигитално потпишување, издаден на компанијата DUC FABULOUS CO., LTD од Ханој, Виетнам. Фактот дека истиот сертификат бил користен и во други, неповрзани малициозни кампањи укажува на негова широка злоупотреба во сајберкриминалниот екосистем, со цел да им се даде привид на легитимност на малициозните датотеки и да се заобиколат безбедносните проверки.

„RAT-от го вградува PowerChell framework — нативен C/C++ engine за извршување на PowerShell, кој директно го хостира .NET CLR во самиот процес на малициозниот софтвер и ги оневозможува AMSI, ETW, Constrained Language Mode и ScriptBlock logging пред да изврши било какви команди,“ соопшти Hexastrike. „C2 сообраќајот е енкриптиран со ChaCha20, користејќи случајни клучеви за секој пакет генерирани преку хардверски RNG.“

AtlasCross RAT располага со можности за таргетирана DLL инјекција во WeChat, преземање контрола врз RDP сесии (session hijacking), активно прекинување на TCP конекции од кинески безбедносни производи (како 360 Safe, Huorong, Kingsoft и QQ PC Manager), наместо користење на техниката Bring Your Own Vulnerable Driver (BYOVD). Дополнително, поддржува операции со фајлови и shell, како и креирање перзистентни scheduled tasks.

„AtlasAgent/AtlasCross RAT претставува најновата еволуција на алатките на групата, изградена врз протоколите на Gh0st RAT, конзистентни со линијата ValleyRAT и Winos 4.0,“ додава компанијата. „Додавањето на PowerChell framework и целосен синџир за заобиколување на безбедноста претставува значително унапредување на нивните способности.“

Во извештај објавен порано овој месец, кинеската компанија за сајбер-безбедност Knownsec 404 ја опиша Silver Fox како една од „најактивните сајбер закани“ во последниве години, која таргетира менаџерски и финансиски персонал преку WeChat, QQ, phishing е-пораки и лажни алатки, со цел инфицирање со malware за далечинска контрола, кражба на податоци и финансиски измами.

„Стратегијата со домени на Silver Fox се базира на силна имитација на официјални домени, комбинирана со регионално означување за да се намали сомнежот кај корисниците,“ се наведува во извештајот. „Операторите користат повеќеслоен пристап — typosquatting, киднапирање домени (domain hijacking) и DNS манипулација — за да создадат привид на легитимност.“

Неодамнешните кампањи покажуваат еволуција од ValleyRAT, дистрибуиран преку малициозни PDF прилози во phishing е-пораки насочени кон организации во Тајван, кон злоупотреба на легитимна, но лошо конфигурирана кинеска RMM алатка наречена SyncFuture TSM, а потоа и кон користење на Python-базиран stealer маскиран како WhatsApp апликација.

Овие напади таргетирале организации во Јапонија, Малезија, Филипини, Тајланд, Индонезија, Сингапур и Индија најмалку од декември 2025 година. Дел од кампањата претходно биле забележани од eSentire во јануари 2026, каде што биле користени мамки поврзани со даноци за напад врз корисници во Индија со Blackmoon malware.

Користењето на ValleyRAT заедно со RMM алатки и сопствени stealer-и покажува дека Silver Fox располага со флексибилен арсенал, што му овозможува брзо да ги адаптира методите на инфекција и да изведува напредни, стратешки операции, паралелно со кампањи насочени кон профит во Јужна Азија, додека одржува долгорочен пристап до компромитирани системи.

„Групата одржува двоен модел — спроведува масовни, опортунистички кампањи паралелно со пософистицирани операции, постојано еволуирајќи ги своите алатки,“ соопшти француската компанија за сајбер-безбедност Sekoia. „Втората и третата кампања, кои се потпираат на RMM алатката и Python stealer, повеќе наликуваат на класичен сајберкриминал отколку на APT операции.“

Од минатата недела, оваа хакерска група е поврзана и со активна spear-phishing кампања што користи убедливи мамки поврзани со даночни прекршоци, корекции на плати, промени на работни позиции и планови за акции на вработени, со цел таргетирање на јапонски производствени компании и други бизниси и нивно инфицирање со ValleyRAT.

„Откако ќе се активира, ValleyRAT му овозможува на напаѓачот да преземе далечинска контрола врз компромитираната машина, да собира чувствителни информации, да ја следи активноста на корисникот и да одржува перзистентност во системот,“ соопшти ESET. „Ова му овозможува на напаѓачот подлабоко да навлезе во мрежата, да украде доверливи податоци или да подготви дополнителни фази на нападот.“

Извори:

  • The Hacker News – Silver Fox Expands Asia Cyber Campaign with AtlasCross RAT and Fake Domains The Hacker News