Une campagne active est d'utiliser des sites Web qui imitent presque cloués à des marques de logiciels légitimes pour attraper des utilisateurs parlant chinois et fournir un nouvel accès à distance Trojan appelé AtlasCross RAT. La recherche, diffusée par une entreprise allemande de cybersécurité, montre comment les attaquants ont préparé des leurres qui simulent des clients VPN, des messagers cryptés, des outils de vidéoconférence, des traceurs de cryptomoneda et des plateformes de commerce électronique pour induire le téléchargement d'installateurs engagés.
Le vecteur d'infection est simple dans son innocence apparente mais sophistiqué dans son exécution: la victime atteint un web falsifié, télécharge un fichier ZIP contenant un installateur threaded ainsi que l'application de leurre légitime, et exécute l'installateur croyant qu'il est fiable. Cet installateur malveillant, qui imite un binaire Autodesk, charge un chargeur shellcode qui déchiffre une configuration intégrée héritée du protocole Gh0st pour extraire les informations du serveur de commande et de contrôle (C2). Puis une deuxième étape est récupérée à partir d'un serveur distant - les rapports indiquent un téléchargement à partir de bifa668 [.] com par le port TCP 9899 - et le nouveau RAT finit par fonctionner uniquement en mémoire, réduisant son empreinte disque.
Un fait frappant est que la plupart des domaines frauduleux utilisés comme leurres ont été enregistrés le même jour à la fin d'octobre 2025. Les exemples identifiés sont Zoom, Signal, Telegram, Surfshark, Microsoft Teams, Trezor et d'autres applications qui inspirent confiance dans les utilisateurs techniques et non techniques.
Les paquets installés analysés ont partagé plus que la même manière de tromperie : ils ont tous été signés avec un certificat de signature de code de validation étendu délivré à une entité vietnamienne. L'utilisation répétée de ce certificat dans des campagnes indépendantes suggère que dans l'écosystème criminel il y a des certificats légitimes qui sont volés ou revendus pour donner l'apparence de la légalité aux charges malveillantes et pour éviter les contrôles de sécurité qui font confiance à la signature numérique.
En termes techniques, AtlasCross intègre un certain nombre d'améliorations notables par rapport aux outils précédents liés à la même famille d'acteurs. Intègre ce que l'on appelle PowerChell, un moteur natif C / C + + conçu pour fonctionner Power Shell en accueillant le . NET CLR dans le processus de malware lui-même, vous permettant d'exécuter des commandes avec des capacités puissantes. Avant de lancer une instruction, l'implanté applique plusieurs techniques pour neutraliser les détections : désactiver l'interface anti-malware (AMSI), bloquer le journal des événements de suivi (ETW) et éviter les restrictions linguistiques qui limitent généralement les scripts malveillants. Pour ceux qui veulent approfondir ces mécanismes, la documentation de Microsoft sur AMSI et la télémétrie est une référence utile: https: / / learn.microsoft.com / fr-us / windows / win32 / amsi / antimalware-scan-interface.
La communication avec les serveurs C2 est également conçue pour réduire la possibilité d'inspection: le trafic entre victime et contrôle est calculé à l'aide de ChaCha20 en utilisant des clés aléatoires par paquet généré à partir d'un générateur aléatoire de nombres matériels. Pour ceux qui veulent en savoir plus sur ChaCha20, la spécification officielle de l'IETF est une source technique solide: https: / / datatacker.ietf.org / doc / html / rfc8439.
Fonctionnellement, AtlasCross n'est pas un simple backdoor : il offre une injection DLL dirigée dans des applications locales comme WeChat, la possibilité d'enlever des sessions RDP, et des routines qui mettent fin activement aux connexions TCP provenant de produits de sécurité populaires en Chine (par exemple 360 Safe, Huorong, Kingsoft et QQ PC Manager) plutôt que d'utiliser des tactiques de pilotes vulnérables. Il facilite également les opérations de base de fichiers et shell et peut atteindre la persistance en créant des tâches programmées. Cette combinaison de techniques indique une évolution marquée des variantes RAT de Gh0st que l'acteur a utilisées auparavant.
L'attribution de l'opération est confiée à un acteur connu dans l'industrie comme Renard argenté, qui apparaît sous plusieurs alias dans différents rapports (y compris SwimSnake et autres noms). Plusieurs entreprises de sécurité qui ont observé l'activité décrivent ce groupe comme très actif et avec une stratégie adaptable : il maintient des campagnes globales et opportunistes tout en exécutant des opérations plus ciblées et stratégiques contre le personnel de finance et de gestion, en utilisant des vecteurs tels que la messagerie instantanée (WeChat, QQ), les courriels d'hameçonnage et de faux sites d'outils. L'analyse des entreprises spécialisées dans la région convient que la tactique centrale du groupe est de créer des domaines qui imitent fidèlement les officiers et ajoutent des détails régionaux pour réduire les soupçons de la victime; des techniques telles que le typo-squattage, le détournement de noms de domaine et la manipulation du DNS font partie du répertoire. Pour le contexte de ce type de menace et le travail des analystes, il convient de consulter les textes techniques et l'analyse des acteurs concernés de l'industrie, par exemple les rapports de sécurité de ConnuSec 404: https: / / 404.nowsec.com / et Sekoia sur les tactiques et les menaces émergentes: https: / / www.sekoia.io / fr / perspectives /.
Historiquement, le groupe a réutilisé et mis à jour les outils de la famille Gh0st, et son arsenal a traversé les livraisons par des PDF malveillants, abus de solutions de gestion à distance légitimes et mal configurées, même les versions de Python Trojans qui passent par des applications populaires. Cette flexibilité opérationnelle vous permet à la fois de mener des campagnes massives pour des bénéfices et de maintenir un long accès pour des opérations plus calculées. D'autres acteurs et fournisseurs ont documenté des campagnes connexes; pour une perspective supplémentaire sur les tactiques et les campagnes connexes, les blogs d'intervention en cas d'incident et les fabricants d'antiviraux comme ESET et eSentire offrent des analyses et des exemples: https: / / www.welivesecurity.com / et https: / / www.esentire.com / blog.
Que peuvent faire les utilisateurs et les organisations pour minimiser les risques? Premièrement, la méfiance à l'égard des téléchargements en dehors des canaux officiels : obtenir des logiciels à partir de sites Web et de dépôts vérifiés est la défense la plus fondamentale. Examinez les détails du certificat numérique avant de lancer les installateurs peut aider, bien que lorsque les certificats ont été compromis cette vérification n'est plus infaillible. Maintenir le logiciel de sécurité et de système mis à jour, limiter l'exécution des exécutables à partir de sites temporaires, et éduquer les équipes sur les risques de typo-squattage et d'outils téléchargés à partir de liens partagés dans la messagerie sont des mesures pratiques. Dans les milieux d'affaires, la détection d'un comportement anormal en mémoire et la surveillance des connexions sortantes vers des domaines et des ports inhabituels (p. ex., le trafic sortant vers des ports non standard comme 9899) peuvent indiquer des infections continues.
L'émergence d'AtlasCross RAT et la réutilisation de certificats valides mettent en évidence une leçon récurrente : les agresseurs ne dépendent plus seulement de vulnérabilités techniques isolées, mais combinent ingénierie sociale, abus de réputation numérique et techniques anti-détection de plus en plus raffinées. La communauté de la défense doit donc combiner des contrôles techniques avec de solides processus de validation et de sensibilisation. Pour suivre les publications et l'analyse des incidents liés à des acteurs tels que Silver Fox et l'évolution des variantes Gh0st, les centres de recherche sur la sécurité et les blogs restent des sources précieuses et à jour.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...