Uma campanha ativa está usando sites que imitam de forma quase crava marcas de software legítimas para capturar usuários de fala chinesa e entregar um novo troiano de acesso remoto denominado AtlasCross RAT. A pesquisa, divulgada por uma assinatura de cibersegurança com base na Alemanha, mostra como os atacantes prepararam cogumelos que simulam clientes VPN, mensageiros criptografados, ferramentas de videoconferência, rastreadores de criptomoedas e plataformas de comércio eletrônico para induzir a descarga de instaladores comprometidos.
O vetor de infecção é simples na sua aparente inocência, mas sofisticado na sua execução: a vítima chega a uma web falsificada, descarrega um arquivo ZIP que contém um instalador trojanizado junto com a aplicação legítima a modo de senheço, e executa o instalador acreditando que é confiável. Esse instalador malicioso, que imita um binário da Autodesk, carrega um carregador de shellcode que desencripta uma configuração incorporada herdeira do protocolo Gh0st para extrair a informação do servidor de comando e controle (C2). Em seguida, recupera-se uma segunda etapa a partir de um servidor remoto —relatórios indicam uma descarga de bifa668[.]com pelo porto TCP 9899— e o novo RAT acaba sendo executado apenas em memória, reduzindo a sua pegada em disco.
Um dado surpreendente que aponta para uma operação planejada é que a maior parte dos domínios fraudulentos utilizados como senheiro foram registrados em um mesmo dia no final de outubro de 2025. Entre os exemplos identificados incluem imitações de Zoom, Signal, Telegram, Surfshark, Microsoft Teams, Trezor e outras aplicações que inspiram confiança em usuários técnicos e não técnicos.
Os pacotes instaladores analisados partilhavam mais do que o mesmo modo de engano: todos estavam assinados com um certificado de assinatura de código de Validação Extendida emitido a uma entidade vietnamita. O uso repetido desse certificado em campanhas não relacionadas sugere que no ecossistema criminosa circulam certificados legítimos roubados ou revendidos para dar aparência de legalidade a cargas maliciosas e contornar controles de segurança que confiam na assinatura digital.
Em termos técnicos, a AtlasCross incorpora uma série de melhorias notáveis em relação a ferramentas prévias ligadas à mesma família de atores. Integra o chamado PowerChell, um motor nativo em C/C++ projetado para executar PowerShell ao hospedar o CLR de .NET dentro do próprio processo do malware, permitindo executar comandos com poderosas capacidades. Antes de lançar qualquer instrução, o implantado aplica várias técnicas para neutralizar detecções: desactiva a interface de antimalware (AMSI), bloqueia o registro de eventos de seguimento (ETW), e evita as restrições de linguagem que normalmente limita programas maliciosos. Para quem quiser aprofundar esses mecanismos, a documentação da Microsoft sobre AMSI e telemetria é uma referência útil: https://learn.microsoft.com/en-us/windows/win32/amsi/antimalware-scan-interface.
A comunicação com os servidores C2 também é projetada para reduzir a possibilidade de inspeção: o tráfego entre vítima e controle é criptografado por ChaCha20 usando chaves aleatórias por pacote geradas a partir de um gerador de números aleatórios de hardware. Para quem quiser saber mais sobre ChaCha20, a especificação oficial do IETF é uma fonte técnica sólida: https://datatracker.ietf.org/doc/html/rfc8439.
Funcionalmente, AtlasCross não é um simples backdoor: oferece injeção dirigida de DLL em aplicativos locais como WeChat, capacidades para seqüestrar sessões RDP, e rotinas que ativamente terminam conexões TCP originadas por produtos de segurança populares na China (por exemplo, 360 Safe, Huorong, Kingsoft e QQ PC Manager) em vez de recorrer a táticas de drivers vulneráveis. Também facilita operações básicas de arquivo e shell e pode conseguir persistência criando tarefas programadas. Esta combinação de técnicas indica uma evolução marcada em relação às variantes baseadas no Gh0st RAT que o ator usou anteriormente.
A atribuição da operação recai em um ator conhecido na indústria como Silver Fox, que aparece sob várias alias em vários relatórios (entre eles SwimSnake e outros nomes). Várias empresas de segurança que observaram a atividade descrevem este grupo como muito ativo e com uma estratégia adaptável: mantém campanhas amplas e oportunistas ao mesmo tempo que executa operações mais direcionadas e estratégicas contra pessoal de finanças e gestão, empregando vetores como mensagens instantâneas (WeChat, QQ), e-mails de phishing e sites de ferramentas falsas. As análises de empresas especializadas na região concordam que a tática central do grupo consiste em criar domínios que imitam fielmente os oficiais e adicionar detalhes regionais para reduzir as suspeitas da vítima; técnicas como o typo-squatting, o sequestro de nomes de domínio e a manipulação de DNS fazem parte do repertório. Para contexto sobre este tipo de ameaças e o trabalho dos analistas, convém consultar textos técnicos e análises de atores relevantes na indústria, por exemplo, relatórios de segurança do KnownSec 404: https://404.knownsec.com/ e de Sekoia sobre táticas e ameaças emergentes: https://www.sekoia.io/en/insights/.
Historicamente, o grupo reutilizado e atualizado ferramentas da família Gh0st, e seu arsenal passou por entregas por PDFs maliciosos, abusos de soluções de gestão remota legítimas mal configuradas, até versões de troianos em Python que se fazem passar por aplicativos populares. Esta flexibilidade operacional permite-lhe tanto correr campanhas em massa em busca de benefícios como manter acessos prolongados para operações mais calculadas. Outros atores e fornecedores documentaram campanhas relacionadas; para uma perspectiva adicional sobre táticas e campanhas relacionadas, blogs de resposta a incidentes e fabricantes antivirais como ESET e eSentire oferecem análises e exemplos: https://www.welivesecurity.com/ e https://www.esentire.com/blog.
O que os usuários e as organizações podem fazer para minimizar o risco? Primeiro, desconfiar de downloads fora dos canais oficiais: obter software a partir dos sites e repositórios verificados é a defesa mais básica. Rever os detalhes do certificado digital antes de executar instaladores pode ajudar, embora quando os certificados tenham sido comprometidos essa verificação deixa de ser infalível. Manter o software de segurança e o sistema atualizado, limitar a execução de executáveis a partir de locais temporários, e educar os equipamentos sobre os riscos do typo-squatting e de ferramentas descarregadas a partir de ligações compartilhadas em mensagens são medidas práticas. Em ambientes empresariais, a detecção de comportamentos anormais em memória e a supervisão de conexões salientes para domínios e portos invulgares (por exemplo, tráfego de saída para portos não-padrão como 9899) podem apontar infecções em andamento.
A aparição da AtlasCross RAT e a reutilização de certificados válidos sublinham uma lição recorrente: os atacantes não dependem já apenas de vulnerabilidades técnicas isoladas, mas combinam engenharia social, abuso da reputação digital e técnicas anti-detecção cada vez mais refinadas. A comunidade de defesa deve, portanto, combinar controles técnicos com processos robustos de validação e consciênciação. Para seguir as publicações e análises de incidentes relacionados a atores como Silver Fox e a evolução de variantes de Gh0st, os centros de pesquisa e blogs de segurança continuam sendo fontes valiosas e atualizadas.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...