Китайськомовні користувачі опинилися в центрі цілеспрямованої кампанії з розповсюдження нового трояна віддаленого доступу AtlasCross RAT. Зловмисники створюють підроблені домени, що імітують популярні сервіси VPN, месенджери, платформи відеоконференцій, криптовалютні трекери й e‑commerce‑майданчики, щоб змусити жертв інсталювати шкідливе програмне забезпечення під виглядом легітимних клієнтів.
Цільова аудиторія та початковий вектор компрометації
Кампанія орієнтована насамперед на китайськомовних користувачів, які часто працюють з інтерфейсами англомовних сайтів і рідше помічають незначні відмінності в написанні доменів. Атакувальники застосовують техніку типосквотингу — реєструють доменні імена, майже не відмінні від офіційних ресурсів таких брендів, як Surfshark VPN, Signal, Telegram, Zoom, Microsoft Teams та ін.
Потрапивши на підроблений сайт, користувач бачить переконливу копію знайомого інтерфейсу та пропозицію завантажити «оновлення» або «офіційний інсталятор». Жертві видається ZIP‑архів, у якому поєднано легітимний застосунок‑приманку та троянізований виконуваний файл Autodesk. Установка виглядає стандартною, що мінімізує підозри та відтерміновує виявлення компрометації.
За даними Hexastrike, всі виявлені інсталятори підписані викраденим EV‑сертифікатом розширеної перевірки, виданим вʼєтнамській компанії DUC FABULOUS CO., LTD. Такий сертифікат підвищує довіру користувачів і деяких засобів захисту, хоча в цьому випадку цифровий підпис фактично використовується для маскування шкідливої активності.
Показово, що більшість фішингових доменів були зареєстровані впродовж одного дня — 27 жовтня 2025 року. Це свідчить про заздалегідь сплановану, централізовано керовану операцію, а не про ізольовані епізоди діяльності окремих зловмисників.
Технічний ланцюжок атаки AtlasCross RAT
Модифікований інсталятор Autodesk запускає вбудований завантажувач shell‑коду, який розшифровує конфігурацію, сумісну з протоколом Gh0st RAT, та витягує параметри командного сервера (C2). Після цього шкідливий модуль встановлює зʼєднання з доменом bifa668[.]com через TCP‑порт 9899 і отримує другий етап shell‑коду.
Додатковий shell‑код розгортає AtlasCross RAT без запису файлів на диск, виключно в памʼяті процесу. Такий безфайловий підхід значно ускладнює виявлення стандартними антивірусами, які орієнтуються на сканування файлової системи, і підвищує шанси на тривалу приховану присутність.
Комунікація з командним сервером шифрується за допомогою алгоритму ChaCha20 із генеруванням унікального ключа для кожного пакета через апаратний генератор випадкових чисел. Це практично блокує можливість пасивного аналізу трафіку й розшифрування перехоплених сесій без доступу до кінцевої точки.
Функціонал AtlasCross RAT та обхід захисту Windows
Вбудований PowerShell‑рушій PowerChell
Ключова особливість AtlasCross RAT — інтегрована платформа PowerChell, нативний C/C++‑рушій для виконання PowerShell‑команд і .NET‑коду всередині самого шкідливого процесу. Це дозволяє запускати складні скрипти без ініціювання окремого процесу powershell.exe, який зазвичай відстежується засобами безпеки.
Перед виконанням команд AtlasCross RAT цілеспрямовано відключає основні механізми безпеки Windows: AMSI (Antimalware Scan Interface), журнали ETW (Event Tracing for Windows), Constrained Language Mode та логування ScriptBlock. У результаті аналітики безпеки втрачають одразу кілька важливих джерел телеметрії для виявлення шкідливих PowerShell‑сценаріїв.
Шпигунські можливості та стійкість AtlasCross RAT
Функції AtlasCross RAT включають точкову DLL‑інʼєкцію в процеси WeChat для перехоплення повідомлень і сесій, а також перехоплення RDP‑сесій, що дозволяє зловмисникам непомітно підключатися до вже відкритих віддалених робочих столів. Окремий модуль активно розриває TCP‑з’єднання, повʼязані з китайськими захисними продуктами (360 Safe, Huorong, Kingsoft, QQ PC Manager), замість використання техніки BYOVD.
Крім того, AtlasCross RAT забезпечує повноцінне керування файлами, запуск віддаленої оболонки та створення постійних завдань планувальника для закріплення у системі. За оцінкою Hexastrike, це логічний розвиток лінійки шкідників на базі Gh0st RAT — таких, як ValleyRAT (Winos 4.0), Gh0stCringe та HoldingHands RAT, — з відчутним посиленням можливостей обходу захисту.
Група Silver Fox: тактика, географія та еволюція інструментів
За кампанією AtlasCross RAT стоїть китайська кіберагрупа Silver Fox, також відома як SwimSnake, The Great Thief of Valley, UTG‑Q‑1000 і Void Arachne. За даними китайського провайдера безпеки Knownsec 404, ця група є однією з найактивніших у регіоні та системно полює на управлінський і фінансовий персонал організацій.
Silver Fox використовує багатоканальний підхід до первинного доступу: розсилки у WeChat і QQ, класичний spear‑phishing через електронну пошту, а також підроблені сайти популярних інструментів, як у випадку з AtlasCross RAT. Основні цілі — віддалений контроль робочих станцій, викрадення даних і проведення фінансового шахрайства.
Доменна стратегія групи ґрунтується на максимальній схожості з офіційними ресурсами, включно з використанням регіональних доменів верхнього рівня (cn, tw, jp) і маніпуляціями DNS‑записами для створення ілюзії легітимності. Такий підхід знижує пильність користувачів і підвищує конверсію фішингових кампаній.
Попередні кампанії Silver Fox та географія атак
У попередніх операціях Silver Fox активно застосовувала ValleyRAT, який поширювався через шкідливі PDF‑вкладення та був націлений на організації Тайваню. Згодом зловмисники почали зловживати легітимним, але неправильно захищеним китайським RMM‑рішенням SyncFuture TSM, а пізніше — Python‑майнером/стікером, замаскованим під застосунок WhatsApp.
З кінця 2025 року атаки фіксувалися в Японії, Малайзії, на Філіппінах, у Таїланді, Індонезії, Сінгапурі та Індії. Компанія eSentire описувала кампанії Silver Fox із використанням податкової тематики та доставки шкідника Blackmoon для користувачів в Індії. Аналітики Sekoia відзначають «двоколійну» модель роботи групи: паралельно ведуться як вузьконацілені, так і масові опортуністичні кампанії, засновані на RMM‑інструментах і кастомних стилерах.
За спостереженнями ESET, актуальні spear‑phishing‑розсилки Silver Fox щодо японських компаній експлуатують теми податкових порушень, перегляду зарплати, зміни посади й програм участі в капіталі. Після зараження ValleyRAT або AtlasCross RAT забезпечують зловмисникам тривалий віддалений доступ, збір конфіденційних даних і можливість подальшого розвитку атаки — від внутрішнього переміщення до фінансових операцій.
Ризики для організацій та практичні заходи захисту
Беручи до уваги технічну зрілість AtlasCross RAT і гнучкість тактики Silver Fox, подібні кампанії можуть бути швидко адаптовані до інших мовних і регіональних сегментів. Організаціям і приватним користувачам варто виходити з припущення, що атаки на фішингові домени VPN, месенджерів і RMM‑інструментів будуть лише посилюватися.
Для зниження ризиків доцільно: завантажувати програмне забезпечення лише з офіційних, перевірених доменів; уважно перевіряти URL і видавця цифрового підпису, не покладаючись сліпо на EV‑сертифікати; максимально обмежувати й жорстко контролювати використання RMM‑рішень; посилити моніторинг активності PowerShell (зокрема, аномальних сценаріїв без видимого процесу) і мережевих з’єднань на нетипові порти на кшталт 9899; розгорнути сучасні EDR‑системи з поведінковим аналізом; регулярно проводити тренінги з протидії фішингу для співробітників.
Оперативне виявлення кампаній, подібних до розповсюдження AtlasCross RAT групою Silver Fox, стає критичним чинником у запобіганні тривалому прихованому доступу до корпоративної інфраструктури. Інвестиції у моніторинг, аналітику загроз та підготовку персоналу сьогодні безпосередньо знижують імовірність масштабних інцидентів завтра.
