Wprowadzenie do problemu / definicja
Grupa Silver Fox prowadzi kolejną odsłonę kampanii malware wymierzonej przede wszystkim w użytkowników chińskojęzycznych oraz organizacje działające w Azji. W centrum operacji znajduje się nowy zdalny trojan dostępu, AtlasCross RAT, dostarczany za pośrednictwem fałszywych domen podszywających się pod znane marki systemu i popularne usługi internetowe.
To podejście łączy typo-squatting, trojanizowane instalatory oraz techniki uruchamiania ładunku bezpośrednio w pamięci. W praktyce oznacza to wyższy poziom wiarygodności przynęty, mniejszą widoczność ataku i większą skuteczność w obchodzeniu tradycyjnych zabezpieczeń.
W skrócie
Nowa aktywność Silver Fox opiera się na podrobionych witrynach imitujących komunikatory, usługi VPN, platformy konferencyjne i aplikacje e-commerce. Ofiara pobiera archiwum ZIP z pozornie legalnym instalatorem, który uruchamia wieloetapowy łańcuch infekcji i ostatecznie ładuje AtlasCross RAT.
- ataki wykorzystują domeny podobne do oficjalnych serwisów,
- instalatory zawierają legalnie wyglądające komponenty i aplikacje-wabiki,
- końcowy payload działa w pamięci, ograniczając ślady na dysku,
- malware rozszerza wcześniejsze rodziny powiązane z Silver Fox, w tym ValleyRAT,
- celem kampanii jest trwały dostęp, kradzież danych i wsparcie działań oszustw finansowych oraz operacji szpiegowskich.
Kontekst / historia
Silver Fox to aktor zagrożeń funkcjonujący również pod nazwami SwimSnake, Void Arachne czy Valley Thief. W poprzednich kampaniach grupa była łączona z dystrybucją wariantów Gh0st RAT, w tym ValleyRAT, a także z szerokim zakresem technik dostarczania złośliwego oprogramowania.
Obecna kampania pokazuje ewolucję zarówno infrastruktury, jak i samego arsenału. Zamiast polegać wyłącznie na znanych loaderach i starszych wariantach RAT, operatorzy wdrożyli nowy implant, który rozwija dotychczasowe możliwości i utrudnia analizę incydentu. Istotnym elementem jest również rejestracja wielu domen silnie przypominających legalne serwisy, co sugeruje przygotowaną i skoordynowaną operację.
Analiza techniczna
Łańcuch infekcji rozpoczyna się od wizyty na fałszywej stronie imitującej popularną aplikację lub usługę. Użytkownik pobiera archiwum ZIP, które zawiera trojanizowany instalator wyglądający na autentyczny pakiet. W rzeczywistości plik łączy komponent wykorzystywany do infekcji z legalnie wyglądającą aplikacją-wabikiem, aby nie wzbudzać podejrzeń.
Po uruchomieniu instalatora aktywowany jest loader shellcode, który odszyfrowuje osadzoną konfigurację wywodzącą się z linii Gh0st RAT. Następnie malware pozyskuje informacje o infrastrukturze dowodzenia i kontroli oraz pobiera kolejny etap ataku. Finalny ładunek, AtlasCross RAT, wykonywany jest bezpośrednio w pamięci operacyjnej.
Jednym z ważniejszych elementów technicznych jest integracja z frameworkiem PowerChell. Dzięki temu malware może wykonywać PowerShell natywnie w swoim procesie przez osadzenie środowiska .NET CLR. Równolegle implant dezaktywuje lub omija mechanizmy ochronne i telemetryczne systemu Windows, takie jak AMSI, ETW, Constrained Language Mode oraz ScriptBlock Logging.
Komunikacja z serwerem C2 została zabezpieczona z użyciem szyfrowania ChaCha20 i losowych kluczy generowanych dla poszczególnych pakietów. Rozwiązanie to utrudnia analizę ruchu sieciowego oraz budowanie prostych reguł detekcyjnych. Złośliwe oprogramowanie wspiera także iniekcję DLL do wybranych procesów, przejmowanie sesji RDP, operacje na plikach i powłoce systemowej oraz utrwalanie obecności poprzez zadania harmonogramu.
Na uwagę zasługuje także sposób obchodzenia lokalnych rozwiązań bezpieczeństwa. Zamiast klasycznego podejścia typu BYOVD, operatorzy wykorzystują aktywne zrywanie połączeń TCP powiązanych z wybranymi produktami ochronnymi używanymi na rynku chińskim. Dodatkowo do podpisywania złośliwych instalatorów użyto tego samego skradzionego certyfikatu Extended Validation, co zwiększa wiarygodność plików.
Konsekwencje / ryzyko
Ryzyko związane z kampanią należy ocenić jako wysokie. AtlasCross RAT zapewnia napastnikom pełną zdalną kontrolę nad zainfekowanym systemem, co może prowadzić do kradzieży danych uwierzytelniających, dokumentów firmowych, informacji finansowych oraz danych komunikacyjnych.
W środowisku korporacyjnym implant może służyć do ruchu bocznego, eskalacji uprawnień i utrzymania trwałego dostępu do infrastruktury. Szczególnie groźny jest model dostarczania malware przez strony podszywające się pod legalne aplikacje, ponieważ nie opiera się wyłącznie na klasycznym phishingu e-mailowym. Użytkownik często sam inicjuje pobranie, uznając je za uzasadnione.
Z perspektywy biznesowej skutki mogą obejmować wyciek danych, przejęcie kont służbowych, nadużycia finansowe, naruszenie integralności stacji roboczych oraz wzrost kosztów reakcji na incydent. W firmach posiadających oddziały lub partnerów w Azji poziom zagrożenia rośnie ze względu na regionalne dopasowanie przynęt i znajomość lokalnego ekosystemu narzędzi.
Rekomendacje
Organizacje powinny przyjąć podejście wielowarstwowe i ograniczyć możliwość pobierania systemu spoza zatwierdzonych źródeł. najważniejsze znaczenie mają polityki allowlistingu, Application Control oraz kontrola źródeł instalatorów używanych przez pracowników.
- monitorowanie nowych domen podobnych do nazw marek i usług używanych w organizacji,
- analiza ruchu DNS i HTTP pod kątem typo-squattingu oraz nietypowych pobrań archiwów ZIP,
- wykrywanie uruchamiania podpisanych, ale nieznanych binariów,
- monitorowanie prób obchodzenia AMSI i ETW oraz osadzania CLR w nietypowych procesach,
- wymuszenie MFA dla systemów krytycznych i ograniczenie uprawnień lokalnych użytkowników,
- segmentacja sieci oraz izolowanie stacji roboczych z podejrzaną aktywnością procesową lub sieciową,
- regularny przegląd IOC i TTP związanych z ValleyRAT, Gh0st RAT oraz AtlasCross RAT,
- szkolenia użytkowników dotyczące pobierania aplikacji wyłącznie z oficjalnych repozytoriów.
W przypadku wykrycia infekcji należy zakładać możliwość pełnego przejęcia hosta. Sama kwarantanna jednego pliku może nie wystarczyć. Konieczna może być analiza śledcza, reset poświadczeń, weryfikacja trwałości w innych systemach oraz sprawdzenie, czy nie doszło już do ruchu bocznego.
Podsumowanie
Kampania Silver Fox potwierdza, iż nowoczesne operacje malware coraz częściej łączą inżynierię społeczną, podszywanie się pod rozpoznawalne marki, podpisane binaria i techniki wykonywania ładunku w pamięci. AtlasCross RAT stanowi istotny krok w rozwoju zaplecza tej grupy, oferując szerokie możliwości post-exploitation i skuteczniejsze obchodzenie zabezpieczeń.
Dla organizacji najważniejsze pozostaje połączenie kontroli źródeł oprogramowania, zaawansowanej telemetrii endpointów, monitoringu domen oraz szybkiej reakcji na incydenty związane z podejrzanymi instalatorami i komunikacją C2. Bez takiego podejścia kampanie podobne do tej mogą długo pozostawać niezauważone.
Źródła
- The Hacker News — https://thehackernews.com/2026/03/silver-fox-expands-asia-cyber-campaign.html
- Hexastrike report on AtlasCross RAT and Silver Fox — https://hexastrike.com/
- Elastic Security Labs — code-signing certificate abuse research — https://www.elastic.co/security-labs
- Sekoia Threat Intelligence Blog — Silver Fox activity analysis — https://blog.sekoia.io/
- ESET WeLiveSecurity — ValleyRAT campaign coverage — https://www.welivesecurity.com/