Pesquisadores de cibersegurança descobriram uma campanha ativa visando usuários falantes de chinês com um trojan de acesso remoto (RAT) anteriormente indocumentado chamado **AtlasCross RAT**. O ataque utiliza domínios typosquatted que imitam marcas de software confiáveis para distribuir o malware.  ### Detalhes da Campanha De acordo com um relatório da **Hexastrike**, a operação visa clientes de VPN, mensageiros criptografados, ferramentas de videoconferência, rastreadores de criptomoedas e aplicativos de e-commerce. Onze domínios de entrega confirmados imitam marcas como **Surfshark VPN**, **Signal**, **Telegram**, **Zoom**, **Microsoft Teams** e outras. Esta atividade foi atribuída ao **Silver Fox**, também rastreado como SwimSnake, The Great Thief of Valley (ou Valley Thief), UTG-Q-1000 e Void Arachne. A descoberta do **AtlasCross RAT** marca uma evolução no arsenal do ator de ameaça, indo além de derivados do **Gh0st RAT** como ValleyRAT (também conhecido como Winos 4.0), Gh0stCringe e HoldingHands RAT (também conhecido como Gh0stBins). ### Cadeia de Infecção A cadeia de ataque envolve atrair usuários para sites falsos que os enganam a baixar arquivos ZIP. Esses arquivos contêm um instalador que deixa um binário trojanizado da **Autodesk** ao lado de um aplicativo de isca legítimo. O instalador malicioso então inicia um carregador de shellcode que descriptografa uma configuração embutida do **Gh0st RAT** para extrair detalhes de comando e controle (C2). Um payload de shellcode de segundo estágio é baixado de "bifa668[.]com" pela porta TCP 9899, levando à execução do **AtlasCross RAT** na memória. ### Infraestrutura de Domínio A maioria dos sites falsos foi registrada em 27 de outubro de 2025, sugerindo uma campanha bem planejada. Domínios de entrega de malware confirmados incluem: * app-zoom.com (Zoom) * eyy-eyy.com (desconhecido) * kefubao-pc.com (KeFuBao, um software chinês de atendimento ao cliente para e-commerce) * quickq-quickq.com (QuickQ VPN) * signal-signal.com (Signal) * telegrtam.com.cn (Telegram) * trezor-trezor.com (Trezor) * ultraviewer-cn.com (UltraViewer) * wwtalk-app.com (WangWang) * www-surfshark.com (Surfshark VPN) * www-teams.com (Microsoft Teams) ### Abuso de Certificado de Assinatura de Código Todos os pacotes de instalador identificados usam o mesmo certificado de assinatura de código Extended Validation roubado, emitido para DUC FABULOUS CO.,LTD, uma entidade vietnamita. O uso do certificado em outras campanhas de malware sugere que ele está sendo amplamente reutilizado no ecossistema cibercrimininoso para contornar verificações de segurança.  ### Capacidades do AtlasCross RAT A **Hexastrike** relata que o RAT incorpora o framework PowerChell, um mecanismo de execução nativo de PowerShell em C/C++ que hospeda o CLR .NET diretamente no processo do malware. Ele também desabilita o AMSI, ETW, Modo de Linguagem Restrita e o registro de ScriptBlock antes de executar quaisquer comandos. O tráfego C2 é criptografado com ChaCha20 usando chaves aleatórias por pacote geradas via RNG de hardware. O **AtlasCross RAT** pode facilitar a injeção de DLL direcionada no WeChat, sequestro de sessão RDP e terminação ativa de conexões em nível TCP de produtos de segurança chineses (por exemplo, 360 Safe, Huorong, Kingsoft e QQ PC Manager), em vez de usar a técnica Bring Your Own Vulnerable Driver (BYOVD). Ele também suporta operações de arquivo e shell e a criação persistente de tarefas agendadas. ### Táticas em Evolução do Silver Fox A **Knownsec 404** caracteriza o **Silver Fox** como uma ameaça cibernética altamente ativa, visando pessoal gerencial e financeiro via WeChat, QQ, e-mails de phishing e sites de ferramentas falsas. Eles usam uma abordagem multifacetada, incluindo typosquatting, sequestro de domínio e manipulação de DNS para criar uma fachada de legitimidade. Campanhas recentes transitaram do ValleyRAT distribuído via anexos de PDF maliciosos para abusar de uma ferramenta chinesa mal configurada de monitoramento e gerenciamento remoto (RMM) chamada SyncFuture TSM, e implantar um stealer baseado em Python disfarçado de aplicativo WhatsApp. Esses ataques visaram entidades no Japão, Malásia, Filipinas, Tailândia, Indonésia, Singapura e Índia desde pelo menos dezembro de 2025. Alguns ataques usaram iscas com tema fiscal para atingir usuários indianos com o malware Blackmoon. A **Sekoia** observa que o **Silver Fox** mantém um modelo de dupla via, executando campanhas amplas e oportunistas ao lado de suas operações mais sofisticadas, evoluindo continuamente suas ferramentas. Campanhas recentes de spear-phishing usam iscas relacionadas a violações de conformidade fiscal, ajustes salariais, mudanças de posição de trabalho e planos de propriedade de ações de funcionários para atingir fabricantes japoneses e outras empresas com o ValleyRAT. Uma vez implantado, o ValleyRAT permite controle remoto, coleta de informações, monitoramento de atividade do usuário e persistência. A **ESET** destaca que isso permite que o invasor se aprofunde na rede, roube dados confidenciais ou prepare estágios adicionais de um ataque.