Cybersicherheitsforscher haben eine aktive Kampagne aufgedeckt, die chinesischsprachige Benutzer mit einem bisher unbekannten Remote-Access-Trojaner namens **AtlasCross RAT** ins Visier nimmt. Der Angriff nutzt Typosquatted-Domains, die vertrauenswürdige Softwaremarken nachahmen, um die Malware zu verteilen.  ### Details zur Kampagne Laut einem Bericht von **Hexastrike** zielt die Operation auf VPN-Clients, verschlüsselte Messenger, Videokonferenz-Tools, Kryptowährungs-Tracker und E-Commerce-Anwendungen ab. Elf bestätigte Lieferdomains ahmen Marken wie **Surfshark VPN**, **Signal**, **Telegram**, **Zoom**, **Microsoft Teams** und andere nach. Diese Aktivität wurde **Silver Fox** zugeschrieben, auch bekannt als SwimSnake, The Great Thief of Valley (oder Valley Thief), UTG-Q-1000 und Void Arachne. Die Entdeckung von **AtlasCross RAT** markiert eine Weiterentwicklung im Arsenal des Bedrohungsakteurs, der über **Gh0st RAT**-Derivate wie ValleyRAT (auch bekannt als Winos 4.0), Gh0stCringe und HoldingHands RAT (auch bekannt als Gh0stBins) hinausgeht. ### Infektionskette Die Angriffskette beinhaltet das Locken von Benutzern auf gefälschte Websites, die sie dazu verleiten, ZIP-Archive herunterzuladen. Diese Archive enthalten einen Installer, der eine trojanisierte **Autodesk**-Binärdatei zusammen mit einer legitimen Schein-Anwendung ablegt. Der bösartige Installer startet dann einen Shellcode-Loader, der eine eingebettete **Gh0st RAT**-Konfiguration entschlüsselt, um Command-and-Control (C2)-Details zu extrahieren. Eine zweite Stufe des Shellcode-Payloads wird von "bifa668[.]com" über TCP-Port 9899 heruntergeladen, was zur Ausführung von **AtlasCross RAT** im Speicher führt. ### Domain-Infrastruktur Die meisten gefälschten Websites wurden am 27. Oktober 2025 registriert, was auf eine gut geplante Kampagne hindeutet. Bestätigte Malware-Lieferdomains sind: * app-zoom.com (Zoom) * eyy-eyy.com (unbekannt) * kefubao-pc.com (KeFuBao, eine chinesische Kundenservice-Software für E-Commerce) * quickq-quickq.com (QuickQ VPN) * signal-signal.com (Signal) * telegrtam.com.cn (Telegram) * trezor-trezor.com (Trezor) * ultraviewer-cn.com (UltraViewer) * wwtalk-app.com (WangWang) * www-surfshark.com (Surfshark VPN) * www-teams.com (Microsoft Teams) ### Missbrauch von Code-Signing-Zertifikaten Alle identifizierten Installer-Pakete verwenden dasselbe gestohlene Extended Validation Code-Signing-Zertifikat, das an DUC FABULOUS CO.,LTD ausgestellt wurde, eine vietnamesische Einheit. Die Verwendung des Zertifikats in anderen Malware-Kampagnen deutet darauf hin, dass es im Cyberkriminellen-Ökosystem weit verbreitet wiederverwendet wird, um Sicherheitsprüfungen zu umgehen.  ### Fähigkeiten von AtlasCross RAT **Hexastrike** berichtet, dass die RAT das PowerChell-Framework einbettet, eine native C/C++ PowerShell-Ausführungs-Engine, die den .NET CLR direkt im Malware-Prozess hostet. Sie deaktiviert auch AMSI, ETW, den eingeschränkten Sprachmodus und die ScriptBlock-Protokollierung, bevor Befehle ausgeführt werden. Der C2-Verkehr wird mit ChaCha20 unter Verwendung von pro-Paket-Zufallsschlüsseln verschlüsselt, die über Hardware-RNG generiert werden. **AtlasCross RAT** kann gezielte DLL-Injektionen in WeChat, RDP-Sitzungs-Hijacking und aktive TCP-Level-Beendigung von Verbindungen chinesischer Sicherheitsprodukte (z. B. 360 Safe, Huorong, Kingsoft und QQ PC Manager) ermöglichen, anstatt die Bring Your Own Vulnerable Driver (BYOVD)-Technik zu verwenden. Es unterstützt auch Datei- und Shell-Operationen sowie die Erstellung persistenter geplanter Aufgaben. ### Sich entwickelnde Taktiken von Silver Fox **Knownsec 404** charakterisiert **Silver Fox** als eine hochaktive Cyberbedrohung, die sich über WeChat, QQ, Phishing-E-Mails und gefälschte Tool-Websites an Manager und Finanzpersonal richtet. Sie verwenden einen mehrgleisigen Ansatz, einschließlich Typosquatting, Domain-Hijacking und DNS-Manipulation, um eine Fassade der Legitimität zu schaffen. Jüngste Kampagnen sind von ValleyRAT, das über bösartige PDF-Anhänge verteilt wurde, zur Ausnutzung eines falsch konfigurierten chinesischen Remote-Monitoring-and-Management (RMM)-Tools namens SyncFuture TSM und zur Bereitstellung eines Python-basierten Stealers, der als WhatsApp-Anwendung getarnt ist, übergegangen. Diese Angriffe zielen seit mindestens Dezember 2025 auf Unternehmen in Japan, Malaysia, den Philippinen, Thailand, Indonesien, Singapur und Indien ab. Einige Angriffe nutzten steuerbezogene Köder, um indische Benutzer mit der Blackmoon-Malware ins Visier zu nehmen. **Sekoia** stellt fest, dass **Silver Fox** ein Dual-Track-Modell unterhält, das breite, opportunistische Kampagnen neben seinen ausgefeilteren Operationen durch kontinuierliche Weiterentwicklung seiner Werkzeuge durchführt. Jüngste Spear-Phishing-Kampagnen verwenden Köder im Zusammenhang mit Steuerverstößen, Gehaltsanpassungen, Änderungen der Stellenbezeichnung und Mitarbeiteraktienplänen, um japanische Hersteller und andere Unternehmen mit ValleyRAT ins Visier zu nehmen. Nach der Bereitstellung ermöglicht ValleyRAT Fernsteuerung, Informationsbeschaffung, Überwachung der Benutzeraktivität und Persistenz. **ESET** hebt hervor, dass dies dem Angreifer ermöglicht, tiefer in das Netzwerk einzudringen, vertrauliche Daten zu stehlen oder zusätzliche Angriffsstufen vorzubereiten.