Eine aktive Kampagne verwendet Websites, die fast an legitime Software-Marken imitieren, um chinesische Benutzer zu fangen und einen neuen Remote-Zugriff Trojan namens AtlasCross RAT. Die Forschung, die von einer deutschen Cybersicherheitsfirma verbreitet wird, zeigt, wie Angreifer Köder vorbereitet haben, die VPN-Kunden, verschlüsselte Boten, Videokonferenz-Tools, Kryptomoneda-Tracker und E-Commerce-Plattformen simulieren, um den Download von engagierten Installateuren zu induzieren.
Der Infektionsvektor ist einfach in seiner scheinbaren Unschuld, aber ausgefeilt in seiner Ausführung: Das Opfer erreicht ein gefälschtes Web, lädt eine ZIP-Datei mit einem Gewinde Installer zusammen mit der legitimen Deko-Anwendung, und führt den Installateur glauben, es ist zuverlässig. Dieser schädliche Installer, der eine Autodesk binäre imitiert, lädt einen Shellcode-Ladegerät, der eine eingebettete Konfiguration entschlüsselt, die aus dem Gh0st-Protokoll geerbt wird, um die Informationen aus dem Befehls- und Steuerserver (C2) zu extrahieren. Dann wird eine zweite Stufe von einem Remote-Server zurückgewonnen - Berichte zeigen einen Download von bifa668 [.] com durch den TCP-Port 9899 - und die neue RAT endet nur im Speicher laufen, wodurch seine Festplatte Footprint reduziert.
Eine bemerkenswerte Tatsache, dass auf eine geplante Operation hingewiesen wird, ist, dass die meisten der betrügerischen Domains, die als Decoy verwendet wurden, am selben Tag Ende Oktober 2025 registriert wurden. Beispiele identifiziert sind Zoom, Signal, Telegram, Surfshark, Microsoft Teams, Trezor und andere Anwendungen, die das Vertrauen in technische und nicht-technische Benutzer gleichermaßen inspirieren.
Die installierten Pakete analysierten gemeinsam mehr als die gleiche Art von Täuschung: Sie wurden alle mit einem Zertifikat der erweiterten Validierungs-Code, ausgestellt an eine vietnamesische Einheit unterzeichnet. Die wiederholte Verwendung dieses Zertifikats in unabhängigen Kampagnen deutet darauf hin, dass es im kriminellen Ökosystem legitime Zertifikate gibt, die gestohlen oder wiederverkauft werden, um das Auftreten von Rechtmäßigkeit zu schädlichen Belastungen zu geben und Sicherheitskontrollen zu vermeiden, die der digitalen Signatur vertrauen.
In technischer Hinsicht enthält AtlasCross eine Reihe von bemerkenswerten Verbesserungen in Bezug auf frühere Werkzeuge, die mit der gleichen Gruppe von Akteuren verbunden sind. Integriert die sogenannte PowerChell, eine native C / C + + Motor für den Betrieb von Power Shell durch Hosting der . NET CLR innerhalb des Malware-Prozesses selbst, so dass Sie Befehle mit leistungsstarken Fähigkeiten ausführen. Vor dem Starten einer beliebigen Anweisung, die implantiert verwendet mehrere Techniken, um Erkennungen zu neutralisieren: deaktivieren Sie die Anti-Malware-Schnittstelle (AMSI), blockiert das Tracking-Event-Log (ETW) und vermeidet Spracheinschränkungen, die normalerweise schädliche Skripte begrenzen. Für diejenigen, die diese Mechanismen vertiefen wollen, ist Microsofts Dokumentation über AMSI und Telemetrie eine nützliche Referenz: https: / / learn.microsoft.com / en-us / windows / win32 / amsi / antimalware-scan-interface.
Die Kommunikation mit C2-Servern soll auch die Möglichkeit der Inspektion verringern: Der Verkehr zwischen Opfer und Kontrolle wird mit ChaCha20 unter Verwendung von zufälligen Schlüsseln pro Paket aus einem zufälligen Hardware-Nummerngenerator erzeugt berechnet. Für diejenigen, die mehr über ChaCha20 wissen wollen, ist die offizielle Spezifikation des IETF eine solide technische Quelle: https: / / datatacker.ietf.org / doc / html / rfc8439.
Funktionell ist AtlasCross keine einfache Backdoor: es bietet gerichtete DLL-Injektion in lokalen Anwendungen wie WeChat, Fähigkeit, RDP-Sitzungen zu entführen, und Routinen, die aktiv beenden TCP-Verbindungen von beliebten Sicherheitsprodukten in China (z.B. 360 Safe, Huorong, Kingsoft und QQ PC Manager) anstatt mit gefährdeten Treibertaktiken. Es erleichtert auch grundlegende Datei- und Shell-Operationen und kann Persistenz durch die Erstellung von programmierten Aufgaben erreichen. Diese Kombination von Techniken zeigt eine deutliche Entwicklung aus den Gh0st RAT-basierten Varianten, die der Schauspieler zuvor verwendet hat.
Die Zuweisung der Operation liegt bei einem in der Industrie bekannten Schauspieler als Silber Fuchs, die unter mehreren Alias in verschiedenen Berichten (einschließlich SwimSnake und andere Namen) erscheint. Mehrere Sicherheitsfirmen, die die Aktivität beobachtet haben, beschreiben diese Gruppe als sehr aktiv und mit einer adaptierbaren Strategie: Sie hält umfassende und opportunistische Kampagnen während der Durchführung von gezielteren und strategischen Operationen gegen Finanz- und Managementpersonal, mit Vektoren wie Instant Messaging (WeChat, QQ), Phishing-E-Mails und gefälschte Tool-Sites. Die Analyse spezialisierter Unternehmen in der Region stimmt zu, dass die zentrale Taktik der Gruppe ist, Domänen zu schaffen, die treu Offiziere nachahmen und regionale Details hinzufügen, um die Verdacht des Opfers zu reduzieren; Techniken wie Typo-Squatting, die Entführung von Domainnamen und die Manipulation von DNS sind Teil des Repertoires. Im Zusammenhang mit dieser Art von Bedrohung und der Arbeit von Analysten ist es angebracht, technische Texte und Analysen relevanter Akteure in der Industrie zu konsultieren, beispielsweise die Sicherheitsberichte von KnownSec 404: https: / / 404.knowsec.com / und Sekoia's über aufstrebende Taktiken und Bedrohungen: https: / / www.sekoia.io / en / Informationen /.
Historisch hat die Gruppe wiederverwendete und aktualisierte Werkzeuge der Gh0st Familie, und ihr Arsenal hat durch Lieferungen durch bösartige PDFs, Missbrauch von legitimen, schlecht konfigurierten Remote-Management-Lösungen, sogar Versionen von Python Trojans, die durch beliebte Anwendungen. Diese operative Flexibilität ermöglicht es Ihnen, sowohl massiv für Vorteile Kampagnen zu betreiben und einen langen Zugang für mehr berechnete Operationen zu erhalten. Andere Akteure und Lieferanten haben entsprechende Kampagnen dokumentiert; für eine zusätzliche Perspektive auf verwandte Taktiken und Kampagnen bieten Blogs und Antivirenhersteller wie ESET und eSentire Analyse und Beispiele an: http://www.welivesecurity.com/ und https: / / www.esentire.com / blog.
Was können Benutzer und Organisationen tun, um das Risiko zu minimieren? Erstens, Misstrauen von Downloads außerhalb offizieller Kanäle: das Erhalten von Software von verifizierten Websites und Repositories ist die grundlegendste Verteidigung. Überprüfen Sie die Details des digitalen Zertifikats, bevor Installateure helfen können, obwohl bei Kompromissen der Zertifikate diese Überprüfung nicht mehr unfehlbar ist. Die Aufrechterhaltung der Sicherheits- und Systemsoftware, die Einschränkung der Ausführung von Ausführbaren von temporären Standorten, und die Ausbildung von Teams über die Risiken von Typo-Squatting und von Werkzeugen, die von gemeinsamen Links in Messaging heruntergeladen wurden, sind praktische Maßnahmen. In Business-Umgebungen kann die Erkennung von abnormem Verhalten im Speicher und die Überwachung von ausgehenden Verbindungen zu ungewöhnlichen Domänen und Ports (z.B. ausgehenden Verkehr zu nicht standardisierten Ports wie 9899) auf laufende Infektionen hinweisen.
Die Entstehung von AtlasCross RAT und die Wiederverwendung von gültigen Zertifikaten unterstreichen eine wiederkehrende Lektion: Angreifer sind nicht mehr nur auf isolierte technische Schwachstellen angewiesen, sondern kombinieren Social Engineering, digitale Reputationsmißbrauch und zunehmend raffiniertere Anti-Detektionstechniken. Die Verteidigungsgemeinschaft muss daher technische Kontrollen mit robusten Validierungs- und Sensibilisierungsprozessen kombinieren. Um den Publikationen und der Analyse von Vorfällen zu folgen, die mit Schauspielern wie Silver Fox und der Evolution von Gh0st-Varianten zusammenhängen, bleiben Sicherheitsforschungszentren und Blogs wertvolle und aktuelle Quellen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...