Китайскоязычные пользователи оказались в центре масштабной кампании по распространению нового трояна удалённого доступа AtlasCross RAT. Атакующие используют домены-двойники, маскирующиеся под сайты известных брендов VPN, мессенджеров, видеоконференций, криптовалютных трекеров и e-commerce‑сервисов. Согласно отчёту немецкой компании Hexastrike, злоумышленники имитируют такие продукты, как Surfshark VPN, Signal, Telegram, Zoom, Microsoft Teams и другие, используя как минимум одиннадцать подтверждённых доменов для доставки вредоносного ПО.
Целевая аудитория и начальный вектор компрометации
Текущая кампания ориентирована прежде всего на китайскоязычных пользователей, которые реже перепроверяют латинское написание доменов и интерфейсы англоязычных сайтов. Атакующие применяют технику типо-сквоттинга — регистрацию доменов, визуально и по звучанию максимально похожих на официальные. Пользователь попадает на поддельный сайт, полагая, что загружает легитимный клиент VPN или мессенджер.
В качестве «обновлений» и «установщиков» жертвам предлагаются ZIP-архивы. Внутри находится инсталлятор, который одновременно разворачивает легитимное приложение-приманку и троянизированный бинарный файл Autodesk. Для большинства жертв установка выглядит штатно, что существенно снижает вероятность быстрого обнаружения компрометации.
Техническая цепочка атаки AtlasCross RAT
Модифицированный установщик Autodesk запускает встроенный загрузчик shell-кода. Тот расшифровывает конфигурацию, совместимую с семейством Gh0st RAT, извлекает параметры командного сервера (C2) и устанавливает соединение с удалённым узлом bifa668[.]com по TCP‑порту 9899. На втором этапе загружается дополнительный shell-код, который уже в памяти процесса разворачивает AtlasCross RAT, не оставляя очевидных следов на диске.
Характерная деталь кампании — то, что большинство фишинговых доменов были зарегистрированы в один день, 27 октября 2025 года. Это указывает на хорошо спланированную, централизованно управляемую операцию, а не на разрозненные эпизодические атаки.
Все обнаруженные инсталляторы подписаны похищенным EV‑сертификатом расширенной проверки, выданным вьетнамской компании DUC FABULOUS CO., LTD (Ханой. Такой сертификат значительно повышает доверие со стороны пользователей и некоторых средств защиты. При этом тот же сертификат уже применялся и в других несвязанных кампаниях, что говорит о его активном обращении в киберпреступной среде и усложняет оценку надёжности цифровой подписи как индикатора легитимности.
Функционал AtlasCross RAT и обход систем защиты
Ключевая особенность AtlasCross RAT — встроенная платформа PowerChell, представляющая собой нативный C/C++‑движок для выполнения PowerShell прямо внутри процесса вредоносного ПО. Это позволяет загружать и выполнять .NET‑код без запуска отдельного процесса PowerShell, что значительно усложняет детектирование.
Перед выполнением команд AtlasCross RAT отключает важные защитные механизмы Windows: AMSI (Antimalware Scan Interface), журналы ETW (Event Tracing for Windows), Constrained Language Mode и логирование ScriptBlock. Такой комплексный обход даёт атакующим возможность выполнять произвольные скрипты и команды практически без видимых артефактов для стандартных средств мониторинга.
Коммуникация с командным сервером шифруется с помощью ChaCha20 с генерацией уникального ключа для каждого пакета через аппаратный генератор случайных чисел. Это затрудняет как пассивный анализ трафика, так и попытки расшифровки перехваченных сессий.
Функции AtlasCross RAT включают:
- точечную DLL‑инъекцию в процессы WeChat для перехвата коммуникаций и сессий;
- перехват RDP‑сессий (hijacking) для незаметного удалённого доступа;
- активное разрывание TCP‑соединений, связанных с китайскими защитными продуктами (360 Safe, Huorong, Kingsoft, QQ PC Manager) вместо подхода BYOVD;
- операции с файлами и удалённой оболочкой;
- создание постоянных задач планировщика для сохранения устойчивого присутствия в системе.
По данным Hexastrike, AtlasCross RAT является логическим развитием семейства, основанного на протоколе Gh0st RAT, и продолжает линию ValleyRAT (Winos 4.0), Gh0stCringe и HoldingHands RAT, но с качественным усилением возможностей обхода защиты.
Группа Silver Fox: тактика, география и эволюция инструментов
За кампанией стоит китайская киберпреступная группировка Silver Fox, также известная как SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 и Void Arachne. Китайский вендор Knownsec 404 характеризует её как одну из наиболее активных угроз последних лет, ориентированную на управленческий и финансовый персонал организаций.
Silver Fox использует многоканальный подход к первичному доступу: рассылки в WeChat и QQ, классические фишинговые письма, а также поддельные сайты инструментов (как в случае с AtlasCross RAT). Целью остаются удалённый контроль, кража данных и проведение финансового мошенничества.
Доменная стратегия группы базируется на максимальном сходстве с официальными доменами, в том числе с региональными метками (например, cn, tw, jp), что снижает настороженность пользователей. Помимо типо-сквоттинга применяются захват доменов и манипуляции DNS для создания видимости легитимности.
В предыдущих кампаниях Silver Fox активно использовала ValleyRAT, доставляемый через вредоносные PDF‑вложения, нацеленные на организации Тайваня. Затем фокус сместился к злоупотреблению легитимным, но неправильно настроенным китайским RMM‑решением SyncFuture TSM, а позднее — к Python‑вору, замаскированному под приложение WhatsApp.
С конца 2025 года атаки фиксировались в Японии, Малайзии, на Филиппинах, в Таиланде, Индонезии, Сингапуре и Индии. Компания eSentire ранее описывала кампании Silver Fox с использованием налоговой тематики и доставкой малвари Blackmoon для пользователей в Индии. Французская компания Sekoia отмечает «двухтрековую» модель работы группы: параллельно ведутся как более избирательные, так и широкие оппортунистические кампании, основанные на RMM‑инструментах и кастомных стилерах.
По наблюдениям ESET, актуальные spear‑phishing‑рассылки, приписываемые Silver Fox, используют убедительные темы налоговых нарушений, пересмотра зарплаты, изменения должности и программ участия в капитале, чтобы заразить японских производителей и другие компании ValleyRAT. После закрепления в системе вредоносное ПО позволяет злоумышленникам удалённо управлять машиной, собирать чувствительные данные, отслеживать действия пользователей и готовить дальнейшее развитие атаки.
Организациям и частным пользователям имеет смысл исходить из того, что подобные техники и инструменты могут быть быстро переориентированы и на другие языковые и региональные рынки. Для снижения рисков следует скачивать ПО только с подтверждённых официальных доменов, внимательно проверять URL и издателя цифровой подписи, ограничивать и жёстко контролировать использование RMM‑инструментов, усиливать мониторинг активности PowerShell и сетевых соединений (включая нетипичные порты вроде 9899), развернуть современные EDR‑решения и регулярно обучать сотрудников противодействию фишингу. Своевременное выявление таких кампаний, как распространение AtlasCross RAT группой Silver Fox, остаётся ключевым фактором в предотвращении долгосрочного компрометационного присутствия в корпоративной инфраструктуре.
