Ein neues Malware-Familienmitglied aus dem Gh0st‑RAT‑Ökosystem sorgt aktuell für erhöhte Aufmerksamkeit in der IT-Sicherheitscommunity: AtlasCross RAT. Laut einer Analyse des deutschen Sicherheitsunternehmens Hexastrike steht der Remote-Access-Trojaner im Zentrum einer breit angelegten Kampagne gegen chinesischsprachige Nutzer, bei der täuschend echte Kopien populärer VPN‑, Messenger‑ und Collaboration‑Dienste als Einfallstor dienen.
AtlasCross RAT als Weiterentwicklung bekannter Gh0st-RAT-Varianten
AtlasCross RAT baut technisch und protokollseitig auf dem bekannten Gh0st RAT auf und wird in eine Linie mit ValleyRAT (Winos 4.0), Gh0stCringe und HoldingHands RAT eingeordnet. Die aktuelle Kampagne markiert jedoch einen Qualitätssprung bei Stealth-Fähigkeiten und Umgehung von Sicherheitsmechanismen, was ihn für professionelle Angreifergruppen besonders attraktiv macht.
Infektionskette: Typo-Squatting und trojanisierte Installer
Zielgruppe chinesischsprachiger Nutzer und erste Kompromittierung
Im Fokus stehen vor allem Anwender, die chinesische Oberflächen bevorzugen und lateinische Domainnamen seltener im Detail prüfen. Die Angreifer registrieren Domains, die den offiziellen Adressen von Surfshark VPN, Signal, Telegram, Zoom, Microsoft Teams und weiteren Diensten visuell stark ähneln (Typo-Squatting). Mindestens elf solcher Domains wurden bestätigt, viele mit länderspezifischen Endungen wie .cn, .tw oder .jp, um zusätzliche Glaubwürdigkeit zu erzeugen.
Auf den gefälschten Seiten werden vermeintliche Updates oder Installationspakete als ZIP-Archive angeboten. Diese enthalten einen Installer, der gleichzeitig eine legitime Anwendung (als Köder) sowie eine trojanisierte Autodesk-Binärdatei ausrollt. Für die meisten Opfer wirkt der Installationsablauf unauffällig, wodurch die Kompromittierung häufig erst spät erkannt wird.
Technische Ausführung: Shellcode-Loader und In-Memory-Nachladen
Beim Start des manipulierten Autodesk-Installers wird ein eingebetteter Shellcode-Loader aktiviert. Dieser entschlüsselt eine Konfiguration im Gh0st-RAT-Format, extrahiert die Parameter der Command‑&‑Control‑Infrastruktur (C2) und baut eine Verbindung zum Server bifa668[.]com über TCP-Port 9899 auf. Anschließend wird weiterer Shellcode nachgeladen, der AtlasCross RAT ausschließlich im Speicher des Prozesses installiert, ohne auffällige Artefakte auf dem Datenträger zu hinterlassen – eine klassische Technik zur EDR‑Evasion.
Auffällig ist, dass ein Großteil der verwendeten Phishing-Domains am 27. Oktober 2025 registriert wurde. Diese zeitliche Bündelung spricht für eine zentral geplante, professionelle Operation und nicht für vereinzelte, unkoordinierte Aktivitäten.
Alle analysierten Installer sind mit einem gestohlenen EV‑Zertifikat einer vietnamesischen Firma (DUC FABULOUS CO., LTD, Hanoi) signiert. EV‑Zertifikate genießen in Browsern und Betriebssystemen traditionell hohes Vertrauen. Der Missbrauch solcher Zertifikate – ein Muster, das in mehreren Kampagnen beobachtet wurde – unterstreicht, dass digitale Signaturen allein kein verlässlicher Indikator mehr für Legitimität sind.
Funktionalitäten von AtlasCross RAT und Umgehung von Sicherheitskontrollen
Eine der zentralen Besonderheiten von AtlasCross RAT ist die integrierte Plattform PowerChell – ein in C/C++ implementierter PowerShell-Engine-Klon. Damit lässt sich .NET‑Code direkt im Malware-Prozess ausführen, ohne einen sichtbar eigenständigen powershell.exe-Prozess zu starten. Für viele Sicherheitslösungen, die stark prozessbasiert arbeiten, wird die Erkennung von PowerShell-Missbrauch dadurch deutlich erschwert.
Vor der Ausführung von Befehlen deaktiviert AtlasCross RAT mehrere wichtige Schutzmechanismen von Windows: AMSI (Antimalware Scan Interface), ETW-Logging (Event Tracing for Windows), Constrained Language Mode sowie das ScriptBlock-Logging. Dieser kombinierte Ansatz reduziert die Sichtbarkeit der Angriffsschritte selbst in gut überwachten Umgebungen erheblich.
Die C2-Kommunikation wird mit ChaCha20 verschlüsselt. Für jedes Datenpaket wird über einen Hardware-Zufallszahlengenerator ein eindeutiger Schlüssel generiert. Dies erschwert sowohl die nachträgliche Analyse des Netzwerkverkehrs als auch die aktive Entschlüsselung abgefangener Sitzungen.
Zu den dokumentierten Fähigkeiten von AtlasCross RAT gehören unter anderem:
- gezielte DLL-Injektion in WeChat-Prozesse, um Chats und Sitzungen abzugreifen,
- Hijacking von RDP-Sitzungen für unbemerkten Fernzugriff,
- aktives Beenden von TCP-Verbindungen zu chinesischen Sicherheitsprodukten wie 360 Safe, Huorong, Kingsoft und QQ PC Manager,
- Dateioperationen, Datendiebstahl und interaktive Remote-Shells,
- Einrichtung persistenter Aufgaben im Windows-Taskplaner.
Branchenberichte wie der Verizon Data Breach Investigations Report und Analysen von Anbietern wie Mandiant oder CrowdStrike zeigen, dass der kombinierte Einsatz von RATs und missbrauchten legitimen Tools (Living off the Land) zu den häufigsten Mustern in komplexen Angriffsketten gehört. AtlasCross RAT reiht sich mit seinem Fokus auf In-Memory-Techniken und Protokollmanipulation nahtlos in diese Entwicklung ein.
Bedrohungsakteur Silver Fox: Taktiken, Regionen und Entwicklung
Die Kampagne wird der chinesischen Gruppe Silver Fox zugeschrieben, auch bekannt unter Bezeichnungen wie SwimSnake, The Great Thief of Valley, UTG-Q-1000 und Void Arachne. Nach Angaben des chinesischen Sicherheitsanbieters Knownsec 404 zählt Silver Fox zu den aktivsten Gruppen der letzten Jahre und zielt vor allem auf Führungs- und Finanzpersonal in Unternehmen.
Silver Fox nutzt einen multivektorbasierten Ansatz: Social-Engineering über WeChat und QQ, klassische Spear‑Phishing‑Mails sowie gefälschte Websites für Tools und Business-Software. Themen rund um Steuern, Gehaltsanpassungen, Beförderungen oder Beteiligungsprogramme dienen regelmäßig als Aufhänger, um insbesondere Unternehmen in Japan, Indien und mehreren Ländern Südostasiens anzugreifen.
In früheren Operationen setzte die Gruppe umfangreich auf ValleyRAT, ausgeliefert über präparierte PDF-Dateien gegen Organisationen in Taiwan. Später wurden ein falsch konfiguriertes chinesisches RMM-Produkt (SyncFuture TSM) sowie ein Python-basierter Stealer, der sich als WhatsApp-Anwendung tarnte, missbraucht. Untersuchungen von eSentire und Sekoia beschreiben eine zweigleisige Strategie: zielgerichtete, hochspezialisierte Angriffe laufen parallel zu breiter angelegten, opportunistischen Kampagnen.
Die aktuellen Aktivitäten mit AtlasCross RAT fügen sich in dieses Muster ein: Typo-Squatting, gestohlene EV-Zertifikate, der Fokus auf chinesischsprachige Nutzer und die erweiterte C2-Infrastruktur lassen erwarten, dass die Werkzeuge und Techniken rasch auf weitere Sprach- und Regionalmärkte übertragen werden können.
Angesichts der Fähigkeiten von AtlasCross RAT und der Anpassungsfähigkeit von Silver Fox sollten Organisationen davon ausgehen, dass ähnliche Kampagnen auch außerhalb Asiens relevant werden. Schutzmaßnahmen sollten daher mindestens umfassen: konsequentes Herunterladen von Software ausschließlich über verifizierte offizielle Domains, akribische Prüfung von URLs und Zertifikatsherausgebern (insbesondere bei EV‑Signaturen), strikte Governance und technische Einschränkungen für RMM‑Tools, verstärktes Monitoring von PowerShell-Aktivität auch ohne sichtbare powershell.exe-Prozesse, sowie die Überwachung ungewöhnlicher Netzwerkverbindungen, etwa über Ports wie 9899. Ergänzend sind moderne EDR-Lösungen, zentrale Log-Analyse und regelmäßige Awareness-Trainings entscheidend, um Social-Engineering-Kampagnen frühzeitig zu erkennen und ein dauerhaftes, verdecktes Eindringen – wie im Fall von AtlasCross RAT – zu verhindern.
