Investigadores de ciberseguridad han descubierto una campaña activa dirigida a usuarios de habla china con un troyano de acceso remoto previamente indocumentado llamado **AtlasCross RAT**. El ataque aprovecha dominios con typosquatting que imitan marcas de software confiables para distribuir el malware.  ### Detalles de la Campaña Según un informe de **Hexastrike**, la operación se dirige a clientes de VPN, mensajeros cifrados, herramientas de videoconferencia, rastreadores de criptomonedas y aplicaciones de comercio electrónico. Once dominios de entrega confirmados imitan marcas como **Surfshark VPN**, **Signal**, **Telegram**, **Zoom**, **Microsoft Teams**, y otras. Esta actividad ha sido atribuida a **Silver Fox**, también rastreado como SwimSnake, The Great Thief of Valley (o Valley Thief), UTG-Q-1000 y Void Arachne. El descubrimiento de **AtlasCross RAT** marca una evolución en el arsenal del actor de amenazas, yendo más allá de los derivados de **Gh0st RAT** como ValleyRAT (también conocido como Winos 4.0), Gh0stCringe y HoldingHands RAT (también conocido como Gh0stBins). ### Cadena de Infección La cadena de ataque implica atraer a los usuarios a sitios web falsos que los engañan para que descarguen archivos ZIP. Estos archivos contienen un instalador que deja un binario troyanizado de **Autodesk** junto con una aplicación señuelo legítima. El instalador malicioso luego inicia un cargador de shellcode que descifra una configuración incrustada de **Gh0st RAT** para extraer los detalles de comando y control (C2). Un payload de shellcode de segunda etapa se descarga de "bifa668[.]com" a través del puerto TCP 9899, lo que lleva a la ejecución de **AtlasCross RAT** en memoria. ### Infraestructura de Dominios La mayoría de los sitios web falsos se registraron el 27 de octubre de 2025, lo que sugiere una campaña bien planificada. Los dominios confirmados de entrega de malware incluyen: * app-zoom.com (Zoom) * eyy-eyy.com (desconocido) * kefubao-pc.com (KeFuBao, un software chino de servicio al cliente para comercio electrónico) * quickq-quickq.com (QuickQ VPN) * signal-signal.com (Signal) * telegrtam.com.cn (Telegram) * trezor-trezor.com (Trezor) * ultraviewer-cn.com (UltraViewer) * wwtalk-app.com (WangWang) * www-surfshark.com (Surfshark VPN) * www-teams.com (Microsoft Teams) ### Abuso de Certificados de Firma de Código Todos los paquetes de instaladores identificados utilizan el mismo certificado robado de Validación Extendida para firma de código emitido a DUC FABULOUS CO.,LTD, una entidad vietnamita. El uso del certificado en otras campañas de malware sugiere que se está reutilizando ampliamente dentro del ecosistema de ciberdelincuentes para eludir las comprobaciones de seguridad.  ### Capacidades de AtlasCross RAT **Hexastrike** informa que el RAT incrusta el framework PowerChell, un motor de ejecución de PowerShell nativo en C/C++ que aloja el CLR de .NET directamente dentro del proceso del malware. También deshabilita AMSI, ETW, el Modo de Lenguaje Restringido y el registro de ScriptBlock antes de ejecutar cualquier comando. El tráfico C2 se cifra con ChaCha20 utilizando claves aleatorias por paquete generadas a través de RNG de hardware. **AtlasCross RAT** puede facilitar la inyección de DLL dirigida en WeChat, el secuestro de sesiones RDP y la terminación activa a nivel de TCP de conexiones de productos de seguridad chinos (por ejemplo, 360 Safe, Huorong, Kingsoft y QQ PC Manager), en lugar de utilizar la técnica Bring Your Own Vulnerable Driver (BYOVD). También admite operaciones de archivos y shell, y la creación persistente de tareas programadas. ### Tácticas en Evolución de Silver Fox **Knownsec 404** caracteriza a **Silver Fox** como una amenaza cibernética altamente activa, que se dirige a personal gerencial y financiero a través de WeChat, QQ, correos electrónicos de phishing y sitios de herramientas falsas. Utilizan un enfoque multifacético que incluye typosquatting, secuestro de dominios y manipulación de DNS para crear una fachada de legitimidad. Las campañas recientes han pasado de ValleyRAT distribuido a través de archivos PDF maliciosos a abusar de una herramienta china de monitoreo y administración remota (RMM) mal configurada llamada SyncFuture TSM, y a desplegar un ladrón basado en Python disfrazado de aplicación de WhatsApp. Estos ataques se han dirigido a entidades en Japón, Malasia, Filipinas, Tailandia, Indonesia, Singapur e India desde al menos diciembre de 2025. Algunos ataques utilizaron señuelos temáticos de impuestos para dirigirse a usuarios indios con el malware Blackmoon. **Sekoia** señala que **Silver Fox** mantiene un modelo de doble vía, ejecutando campañas amplias y oportunistas junto con sus operaciones más sofisticadas al evolucionar continuamente sus herramientas. Las campañas recientes de spear-phishing utilizan señuelos relacionados con violaciones de cumplimiento fiscal, ajustes salariales, cambios de puesto de trabajo y planes de propiedad de acciones para empleados para dirigirse a fabricantes japoneses y otras empresas con ValleyRAT. Una vez desplegado, ValleyRAT permite el control remoto, la recolección de información, el monitoreo de la actividad del usuario y la persistencia. **ESET** destaca que esto permite al atacante profundizar en la red, robar datos confidenciales o preparar etapas adicionales de un ataque.