Die Infektionskette beginnt mit präparierten Webseiten, über die Nutzer ZIP-Archive herunterladen. Darin steckt ein Installer, der eine trojanisierte Autodesk-Datei zusammen mit der legitimen Köder-Anwendung ablegt. Die manipulierte Autodesk-Installation startet anschließend einen Shellcode-Loader, der eine eingebettete Gh0st-RAT-Konfiguration entschlüsselt, daraus die Command-and-Control-Daten ausliest und über TCP-Port 9899 eine zweite Shellcode-Nutzlast von “bifa668[.]com” nachlädt. Am Ende steht die Ausführung des AtlasCross RAT direkt im Arbeitsspeicher.
Die Mehrzahl der gefälschten Webseiten wurde laut Hexastrike an einem einzigen Tag registriert, was auf ein planvolles Vorgehen hindeutet. Sämtliche identifizierten Installationspakete trugen dasselbe gestohlene Extended-Validation-Code-Signing-Zertifikat, ausgestellt auf die in Hanoi registrierte vietnamesische Firma DUC FABULOUS CO.,LTD. Da dasselbe Zertifikat auch in anderen, nicht verwandten Malware-Kampagnen auftauchte, vermutet Hexastrike eine breite Wiederverwendung innerhalb der Cybercrime-Szene, um Schadcode einen Anschein von Legitimität zu verleihen und Sicherheitsprüfungen zu umgehen.
Technisch hebt sich der neue Trojaner deutlich von früheren Werkzeugen ab. Laut Hexastrike bindet der RAT das PowerChell-Framework ein, eine native C/C++-PowerShell-Ausführungsumgebung, die die .NET-CLR direkt im Schadprozess hostet und vor der Befehlsausführung AMSI, ETW, den Constrained Language Mode sowie das ScriptBlock-Logging deaktiviert. Der C2-Verkehr wird mit ChaCha20 verschlüsselt, wobei pro Paket ein zufälliger Schlüssel über einen Hardware-Zufallszahlengenerator erzeugt wird.
Zu den Funktionen des AtlasCross RAT zählen gezielte DLL-Injektion in WeChat, das Kapern von RDP-Sitzungen sowie das aktive Beenden von Verbindungen chinesischer Sicherheitsprodukte wie 360 Safe, Huorong, Kingsoft und QQ PC Manager auf TCP-Ebene – anstatt auf die Technik “Bring Your Own Vulnerable Driver” zu setzen. Hinzu kommen Datei- und Shell-Operationen sowie das Anlegen geplanter Aufgaben zur dauerhaften Verankerung. Hexastrike spricht von einem deutlichen Fähigkeitssprung gegenüber der ValleyRAT- und Winos-4.0-Linie.
Der chinesische Sicherheitsanbieter Knownsec 404 bezeichnete Silver Fox in einem Bericht aus diesem Monat als eine der “aktivsten Cyberbedrohungen” der vergangenen Jahre. Die Gruppe nehme über WeChat, QQ, Phishing-Mails und gefälschte Tool-Seiten gezielt Führungs- und Finanzpersonal ins Visier, um Fernsteuerung, Datendiebstahl und Finanzbetrug zu ermöglichen. Ihre Domain-Strategie setze auf eine sehr genaue Nachahmung offizieller Domains in Kombination mit regionalen Kennzeichnungen sowie auf Typosquatting, Domain-Hijacking und DNS-Manipulation.
Parallel beobachteten Forscher eine Verlagerung der Angriffe: von ValleyRAT, das per schädlicher PDF-Anhänge an taiwanische Organisationen verteilt wurde, hin zum Missbrauch des fehlkonfigurierten chinesischen RMM-Tools SyncFuture TSM und später zu einem als WhatsApp-App getarnten, Python-basierten Stealer. Diese Angriffe richteten sich gegen Ziele in Japan, Malaysia, den Philippinen, Thailand, Indonesien, Singapur und Indien. Einige Aspekte hatte zuvor eSentire beschrieben, wobei steuerthematische Köder indische Nutzer mit der Blackmoon-Malware infizierten.
Das französische Unternehmen Sekoia attestiert der Gruppe ein “Zweigleisen-Modell” aus breiten, opportunistischen Kampagnen und anspruchsvolleren Operationen. Zuletzt wurde Silver Fox zudem einer Spear-Phishing-Kampagne zugerechnet, die mit Ködern rund um Steuerverstöße, Gehaltsanpassungen, Stellenwechsel und Mitarbeiterbeteiligungsprogramme gezielt japanische Hersteller mit ValleyRAT infiziert. Laut ESET erlaubt ValleyRAT dem Angreifer, die Kontrolle über kompromittierte Rechner zu übernehmen, sensible Daten abzugreifen, Nutzeraktivitäten zu überwachen und sich dauerhaft im Zielsystem einzunisten.
