Una campaña de malware a gran escala está utilizando el troyano de acceso remoto AtlasCross RAT para comprometer principalmente a usuarios de habla china, explotando dominios falsos que imitan servicios populares de VPN, mensajería y videoconferencia. Según la empresa alemana Hexastrike, los atacantes suplantan marcas como Surfshark VPN, Signal, Telegram, Zoom o Microsoft Teams y emplean al menos once dominios maliciosos confirmados para distribuir el nuevo troyano.
AtlasCross RAT y su campaña de distribución mediante dominios falsos
El núcleo de la campaña se basa en el tiposquatting, técnica que consiste en registrar dominios muy similares, visual o fonéticamente, a los sitios oficiales. Las víctimas acceden a páginas que imitan con precisión la apariencia de los portales legítimos en inglés y descargan lo que creen ser un cliente VPN o una aplicación de mensajería fiable.
En estos sitios fraudulentos se ofrecen supuestos instaladores o actualizaciones en forma de archivos ZIP. Dentro se incluye un instalador que despliega, de manera simultánea, la aplicación legítima usada como señuelo y un binario de Autodesk troyanizado. Para la mayoría de los usuarios la instalación parece normal, lo que reduce significativamente la probabilidad de que el compromiso sea detectado de forma temprana.
Un detalle relevante para los analistas de ciberseguridad es que la mayoría de estos dominios de phishing se registraron en una sola fecha, el 27 de octubre de 2025, lo que apunta a una operación planificada y centralizada, más que a acciones aisladas de actores oportunistas.
Cadena de infección y funcionamiento interno de AtlasCross RAT
El instalador modificado de Autodesk ejecuta un cargador de shellcode integrado que descifra una configuración compatible con la familia Gh0st RAT. A partir de esta configuración obtiene los parámetros del servidor de mando y control (C2) y establece una conexión TCP con el dominio bifa668[.]com a través del puerto 9899.
En una segunda fase se descarga y ejecuta en memoria un nuevo bloque de shellcode que despliega AtlasCross RAT directamente dentro del proceso comprometido, sin escribir componentes evidentes en disco. Este enfoque fileless complica de forma notable la labor de las soluciones antivirus tradicionales basadas en firmas.
Bypass de defensas de Windows y cifrado de las comunicaciones
La característica más distintiva de AtlasCross RAT es su plataforma interna denominada PowerChell: un motor nativo en C/C++ capaz de ejecutar código PowerShell y .NET dentro del propio proceso malicioso, sin lanzar el ejecutable habitual de PowerShell. Esto reduce la superficie de detección para herramientas que monitorizan procesos y registros asociados con PowerShell clásico.
Antes de ejecutar comandos, AtlasCross RAT deshabilita diversos mecanismos de seguridad de Windows, entre ellos AMSI (Antimalware Scan Interface), los registros de ETW (Event Tracing for Windows), el Constrained Language Mode y el registro de ScriptBlock. Este conjunto de técnicas de evasión permite al atacante ejecutar scripts y cargas adicionales con un nivel mínimo de trazas visibles en los sistemas de monitorización estándar.
La comunicación con el C2 se cifra empleando el algoritmo ChaCha20, generando una clave única para cada paquete mediante un generador de números aleatorios por hardware. Este modelo de cifrado por paquete dificulta tanto el análisis forense pasivo del tráfico como la posible descifrado de sesiones interceptadas.
Capacidades del troyano AtlasCross RAT
Entre las funciones observadas de AtlasCross RAT destacan:
- Inyección de DLL específica en procesos de WeChat, con el objetivo de interceptar sesiones y comunicaciones.
- Secuestro de sesiones RDP (RDP hijacking) para obtener acceso remoto encubierto a estaciones comprometidas.
- Interrupción activa de conexiones TCP asociadas a soluciones de seguridad chinas como 360 Safe, Huorong, Kingsoft y QQ PC Manager, en lugar de recurrir al esquema tradicional BYOVD.
- Operaciones de gestión de archivos, ejecución de comandos y provisión de una shell remota.
- Creación de tareas programadas persistentes para mantener la presencia en el sistema incluso tras reinicios.
De acuerdo con Hexastrike, AtlasCross RAT representa una evolución de la línea de malware basada en el protocolo de Gh0st RAT, que incluye variantes como ValleyRAT (Winos 4.0), Gh0stCringe y HoldingHands RAT, pero con capacidades de evasión y sigilo significativamente reforzadas.
Silver Fox: perfil del grupo y evolución de sus herramientas
La campaña de AtlasCross RAT se atribuye a la agrupación de ciberdelincuencia china Silver Fox, también conocida como SwimSnake, The Great Thief of Valley, UTG-Q-1000 o Void Arachne. El proveedor chino Knownsec 404 la describe como una de las amenazas más activas de los últimos años, con foco en personal directivo y financiero de organizaciones.
Silver Fox combina diferentes vectores para lograr acceso inicial: mensajes en WeChat y QQ, correos de phishing tradicionales y ahora sitios fraudulentos de herramientas populares, como en el caso de AtlasCross RAT. Sus objetivos principales son el control remoto de sistemas, el robo de información sensible y la ejecución de fraudes financieros.
Históricamente, el grupo ha empleado el troyano ValleyRAT distribuido mediante adjuntos PDF maliciosos dirigidos a organizaciones en Taiwán; posteriormente abusó del software de gestión remota (RMM) chino SyncFuture TSM mal configurado y, más tarde, desplegó un ladrón de información en Python camuflado como aplicación de WhatsApp.
Investigaciones de firmas como eSentire, Sekoia y ESET apuntan a que sus campañas se han extendido a Japón, Malasia, Filipinas, Tailandia, Indonesia, Singapur e India, con temáticas recurrentes de impuestos, revisión salarial o cambios de puesto para engañar a empleados y lograr que ejecuten los archivos maliciosos.
Certificados robados y confianza digital comprometida
Todos los instaladores identificados de la campaña AtlasCross RAT están firmados con un certificado EV (Extended Validation) robado, emitido a la empresa vietnamita DUC FABULOUS CO., LTD (Hanoi). Los certificados EV, diseñados para generar un mayor nivel de confianza en el usuario y en algunos productos de seguridad, se convierten así en un arma de doble filo: su uso por parte de actores maliciosos erosiona la fiabilidad de la firma digital como indicador de legitimidad. El mismo certificado se ha observado en otras campañas sin relación directa, lo que indica su circulación activa en entornos de ciberdelincuencia.
Este abuso de certificados de validación ampliada refuerza la necesidad de que las organizaciones complementen la verificación de firmas digitales con análisis de reputación, telemetría de EDR y correlación de eventos de red antes de confiar en un binario firmado.
Para reducir el riesgo de infecciones con troyanos de acceso remoto como AtlasCross RAT, tanto organizaciones como usuarios individuales deberían descargar software únicamente desde dominios oficiales verificados, comprobar detenidamente las URL y el editor de la firma digital, restringir y supervisar estrictamente el uso de herramientas de administración remota, reforzar el monitoreo de actividad de PowerShell y de conexiones de red inusuales (incluyendo puertos poco comunes como el 9899), desplegar soluciones EDR modernas y mantener programas de formación continua frente al phishing. La detección temprana de operaciones como la de Silver Fox marca la diferencia entre un incidente puntual y un compromiso prolongado de la infraestructura corporativa.
