サイバーセキュリティ研究者たちは、これまで知られていなかったリモートアクセス型トロイの木馬（RAT）「AtlasCross RAT」で中国語圏のユーザーを標的とした活発なキャンペーンを発見しました。この攻撃は、信頼されているソフトウェアブランドを模倣したタイポスクワッティングドメインを利用してマルウェアを配信しています。  ### キャンペーンの詳細 **Hexastrike**の報告によると、この作戦はVPNクライアント、暗号化されたメッセンジャー、ビデオ会議ツール、仮想通貨トラッカー、およびeコマースアプリケーションを標的としています。確認された11個の配信ドメインは、**Surfshark VPN**、**Signal**、**Telegram**、**Zoom**、**Microsoft Teams**などのブランドを偽装しています。 この活動は、SwimSnake、The Great Thief of Valley（またはValley Thief）、UTG-Q-1000、Void Arachneとしても追跡されている**Silver Fox**に起因するとされています。**AtlasCross RAT**の発見は、ValleyRAT（別名Winos 4.0）、Gh0stCringe、HoldingHands RAT（別名Gh0stBins）のような**Gh0st RAT**の派生を超えて、攻撃者の武器庫における進化を示しています。 ### 感染チェーン 攻撃チェーンは、ユーザーを偽のウェブサイトに誘導し、そこでZIPアーカイブのダウンロードを促します。これらのアーカイブには、正規のデコイアプリケーションと共に、トロイ化された**Autodesk**バイナリをドロップするインストーラーが含まれています。その後、悪意のあるインストーラーは、埋め込まれた**Gh0st RAT**の設定を復号してコマンド＆コントロール（C2）の詳細を抽出するシェルコードローダーを起動します。セカンドステージのシェルコードペイロードは、「bifa668[.]com」からTCPポート9899経由でダウンロードされ、メモリ内で**AtlasCross RAT**が実行されます。 ### ドメインインフラストラクチャ 偽のウェブサイトのほとんどは2025年10月27日に登録されており、綿密に計画されたキャンペーンを示唆しています。確認されたマルウェア配信ドメインは以下の通りです。 * app-zoom.com (Zoom) * eyy-eyy.com (不明) * kefubao-pc.com (KeFuBao、eコマース向けの中国のカスタマーサービスソフトウェア) * quickq-quickq.com (QuickQ VPN) * signal-signal.com (Signal) * telegrtam.com.cn (Telegram) * trezor-trezor.com (Trezor) * ultraviewer-cn.com (UltraViewer) * wwtalk-app.com (WangWang) * www-surfshark.com (Surfshark VPN) * www-teams.com (Microsoft Teams) ### コード署名証明書の悪用 特定されたすべてのインストーラーパッケージは、ベトナムのエンティティであるDUC FABULOUS CO.,LTDに発行された、同じ盗難された拡張検証コード署名証明書を使用しています。この証明書が他のマルウェアキャンペーンで使用されていることは、サイバー犯罪エコシステム内でセキュリティチェックを回避するために広く再利用されていることを示唆しています。  ### AtlasCross RATの機能 **Hexastrike**によると、このRATはPowerChellフレームワークを組み込んでおり、これは.NET CLRをマルウェアプロセス内に直接ホストするネイティブなC/C++ PowerShell実行エンジンです。また、コマンドを実行する前にAMSI、ETW、制約付き言語モード、およびScriptBlockロギングを無効にします。C2トラフィックは、ハードウェアRNG経由で生成されたパケットごとのランダムキーを使用してChaCha20で暗号化されます。 **AtlasCross RAT**は、WeChatへのターゲットDLLインジェクション、RDPセッションハイジャック、およびBring Your Own Vulnerable Driver（BYOVD）技術を使用する代わりに、中国のセキュリティ製品（例：360 Safe、Huorong、Kingsoft、およびQQ PC Manager）からの接続のTCPレベルでの能動的な終了を可能にします。また、ファイルおよびシェル操作、および永続的なスケジュールタスクの作成もサポートしています。 ### Silver Foxの進化する戦術 **Knownsec 404**は、**Silver Fox**を非常に活発なサイバー脅威として特徴づけており、WeChat、QQ、フィッシングメール、および偽のツールサイトを通じて、管理職および財務担当者を標的にしています。彼らは、タイポスクワッティング、ドメインハイジャック、DNS操作を含む多角的なアプローチを使用して、正当性の偽装を作り出しています。 最近のキャンペーンは、悪意のあるPDF添付ファイルを介して配信されるValleyRATから、SyncFuture TSMと呼ばれる設定ミスのある中国のリモート監視および管理（RMM）ツールの悪用、そしてWhatsAppアプリケーションを装ったPythonベースのスティラーの展開へと移行しています。 これらの攻撃は、少なくとも2025年12月以降、日本、マレーシア、フィリピン、タイ、インドネシア、シンガポール、インドのエンティティを標的にしています。一部の攻撃では、税金関連のルアーを使用してインドのユーザーをBlackmoonマルウェアで標的にしました。 **Sekoia**は、**Silver Fox**が、ツールを継続的に進化させることで、広範で機会主義的なキャンペーンとより洗練された運用を並行して実行するデュアルトラックモデルを維持していると指摘しています。 最近のスピアフィッシングキャンペーンでは、税務コンプライアンス違反、給与改定、役職変更、従業員株式所有プランに関連するルアーを使用して、日本の製造業者やその他の企業をValleyRATで標的にしています。展開されると、ValleyRATはリモートコントロール、情報収集、ユーザーアクティビティ監視、および永続性を可能にします。 **ESET**は、これにより攻撃者がネットワークの奥深くまで侵入し、機密データを盗み、または攻撃の追加ステージを準備できるようになると強調しています。