Des chercheurs en cybersécurité ont découvert une campagne active ciblant des utilisateurs sinophones avec un cheval de Troie d'accès à distance (RAT) jusqu'alors inconnu, nommé **AtlasCross RAT**. L'attaque exploite des domaines typosquattés imitant des marques de logiciels de confiance pour distribuer le malware.  ### Détails de la campagne Selon un rapport de **Hexastrike**, l'opération cible des clients VPN, des messageries chiffrées, des outils de visioconférence, des traqueurs de cryptomonnaies et des applications de commerce électronique. Onze domaines de distribution confirmés imitent des marques telles que **Surfshark VPN**, **Signal**, **Telegram**, **Zoom**, **Microsoft Teams**, et d'autres. Cette activité a été attribuée à **Silver Fox**, également connu sous les noms de SwimSnake, The Great Thief of Valley (ou Valley Thief), UTG-Q-1000, et Void Arachne. La découverte d'**AtlasCross RAT** marque une évolution dans l'arsenal de l'acteur de la menace, qui va au-delà des dérivés de **Gh0st RAT** tels que ValleyRAT (alias Winos 4.0), Gh0stCringe et HoldingHands RAT (alias Gh0stBins). ### Chaîne d'infection La chaîne d'attaque consiste à attirer les utilisateurs vers de faux sites Web qui les incitent à télécharger des archives ZIP. Ces archives contiennent un installateur qui dépose un binaire **Autodesk** trojanisé aux côtés d'une application de distraction légitime. L'installateur malveillant lance ensuite un chargeur de shellcode qui déchiffre une configuration **Gh0st RAT** intégrée pour extraire les détails de commande et de contrôle (C2). Une charge utile de shellcode de second niveau est téléchargée depuis "bifa668[.]com" sur le port TCP 9899, ce qui conduit à l'exécution d'**AtlasCross RAT** en mémoire. ### Infrastructure de domaines La plupart des faux sites Web ont été enregistrés le 27 octobre 2025, suggérant une campagne bien planifiée. Les domaines de distribution de malware confirmés incluent : * app-zoom.com (Zoom) * eyy-eyy.com (inconnu) * kefubao-pc.com (KeFuBao, un logiciel chinois de service client pour le commerce électronique) * quickq-quickq.com (QuickQ VPN) * signal-signal.com (Signal) * telegrtam.com.cn (Telegram) * trezor-trezor.com (Trezor) * ultraviewer-cn.com (UltraViewer) * wwtalk-app.com (WangWang) * www-surfshark.com (Surfshark VPN) * www-teams.com (Microsoft Teams) ### Abus de certificats de signature de code Tous les packages d'installation identifiés utilisent le même certificat de signature de code Extended Validation volé, émis à DUC FABULOUS CO.,LTD, une entité vietnamienne. L'utilisation du certificat dans d'autres campagnes de malware suggère qu'il est largement réutilisé au sein de l'écosystème cybercriminel pour contourner les contrôles de sécurité.  ### Capacités d'AtlasCross RAT **Hexastrike** rapporte que le RAT intègre le framework PowerChell, un moteur d'exécution PowerShell natif C/C++ qui héberge le CLR .NET directement dans le processus du malware. Il désactive également AMSI, ETW, le mode Langage Restreint et la journalisation ScriptBlock avant d'exécuter toute commande. Le trafic C2 est chiffré avec ChaCha20 en utilisant des clés aléatoires par paquet générées via un RNG matériel. **AtlasCross RAT** peut faciliter l'injection de DLL ciblée dans WeChat, le détournement de sessions RDP et la terminaison active au niveau TCP des connexions provenant de produits de sécurité chinois (par exemple, 360 Safe, Huorong, Kingsoft et QQ PC Manager), au lieu d'utiliser la technique Bring Your Own Vulnerable Driver (BYOVD). Il prend également en charge les opérations sur fichiers et shells, ainsi que la création persistante de tâches planifiées. ### Tactiques évolutives de Silver Fox **Knownsec 404** caractérise **Silver Fox** comme une cybermenace très active, ciblant le personnel de direction et financier via WeChat, QQ, des e-mails de phishing et de faux sites d'outils. Ils utilisent une approche multiforme incluant le typosquatting, le détournement de domaines et la manipulation DNS pour créer une façade de légitimité. Les campagnes récentes sont passées de ValleyRAT distribué via des pièces jointes PDF malveillantes à l'abus d'un outil chinois de surveillance et de gestion à distance (RMM) mal configuré appelé SyncFuture TSM, et au déploiement d'un voleur basé sur Python déguisé en application WhatsApp. Ces attaques ont ciblé des entités au Japon, en Malaisie, aux Philippines, en Thaïlande, en Indonésie, à Singapour et en Inde depuis au moins décembre 2025. Certaines attaques ont utilisé des leurres sur le thème des impôts pour cibler des utilisateurs indiens avec le malware Blackmoon. **Sekoia** note que **Silver Fox** maintient un modèle à double voie, menant des campagnes opportunistes à grande échelle parallèlement à ses opérations plus sophistiquées en faisant évoluer continuellement ses outils. Les récentes campagnes de spear-phishing utilisent des leurres liés à des violations de conformité fiscale, des ajustements de salaire, des changements de poste et des plans d'options d'achat d'actions pour employés afin de cibler les fabricants japonais et d'autres entreprises avec ValleyRAT. Une fois déployé, ValleyRAT permet le contrôle à distance, la collecte d'informations, la surveillance des activités des utilisateurs et la persistance. **ESET** souligne que cela permet à l'attaquant de s'enfoncer plus profondément dans le réseau, de voler des données confidentielles ou de préparer des étapes supplémentaires d'une attaque.