Los usuarios de habla china son el objetivo de una campaña activa que utiliza dominios con errores tipográficos que se hacen pasar por marcas de software confiables para entregar un troyano de acceso remoto previamente indocumentado llamado AtlasCross RAT.

«La operación cubre clientes VPN, mensajería cifrada, herramientas de videoconferencia, rastreadores de criptomonedas y aplicaciones de comercio electrónico, con once dominios de entrega confirmados que se hacen pasar por marcas como Surfshark VPN, Signal, Telegram, Zoom, Microsoft Teams y otras», dijo la empresa de ciberseguridad con sede en Alemania Hexastrike. dicho en un informe publicado la semana pasada.

La actividad se ha atribuido a un grupo de cibercrimen chino llamado Silver Fox, al que también se le sigue como SwimSnake, The Great Thief of Valley (o Valley Thief), UTG-Q-1000 y Void Arachne.

El descubrimiento de AtlasCross RAT representa una evolución del arsenal del actor de amenazas a partir de derivados de Gh0st RAT como ValleyRAT (también conocido como Winos 4.0), Gh0stCringe y HoldingHands RAT (también conocido como Gh0stBins).

Las cadenas de ataques implican el uso de sitios web falsos como señuelo para engañar a los usuarios para que descarguen archivos ZIP que contienen un instalador que coloca un binario troyanizado de Autodesk junto con la aplicación señuelo legítima.

El instalador troyanizado de AutoDesk, a su vez, inicia un cargador de código shell que descifra una configuración integrada de Gh0st RAT para extraer los detalles de comando y control (C2) y luego descarga una carga útil de código shell de segunda etapa desde «bifa668″.[.]com» a través de TCP en el puerto 9899, ​​lo que finalmente conduce a la ejecución de AtlasCross RAT en la memoria.

La mayoría de los sitios web falsos se registraron en un solo día, el 27 de octubre de 2025, lo que indica un enfoque deliberado detrás de la campaña. La lista de dominios de entrega de malware confirmados se muestra a continuación:

• aplicación-zoom.com (Zoom)
• eyy-eyy.com (desconocido)
• kefubao-pc.com (KeFuBao, un software chino de atención al cliente para comercio electrónico)
• quickq-quickq.com (QuickQ VPN)
• signal-signal.com (Señal)
• telegrtam.com.cn (Telegrama)
• trezor-trezor.com (Trezor)
• ultraviewer-cn.com (UltraViewer)
• wwtalk-app.com (WangWang)
• www-surfshark.com (VPN de Surfshark)
• www-teams.com (equipos de Microsoft)

Se ha descubierto que todos los paquetes de instalación identificados llevan el mismo certificado de firma de código de validación extendida robado emitido a DUC FABULOUS CO.,LTD, una entidad vietnamita registrada en Hanoi. El hecho de que el mismo certificado haya sido usado en otras campañas de malware no relacionadas ha planteado la posibilidad de una reutilización generalizada dentro del ecosistema cibercriminal para dar a las cargas maliciosas un barniz de legitimidad y eludir los controles de seguridad.

«El RAT incorpora el marco PowerChell, un motor de ejecución nativo de C/C++ PowerShell que aloja .NET CLR directamente dentro del proceso de malware y desactiva AMSI, ETW, modo de lenguaje restringido y el registro de ScriptBlock antes de ejecutar cualquier comando», dijo Hexastrike. «El tráfico C2 se cifra con ChaCha20 utilizando claves aleatorias por paquete generadas mediante RNG de hardware».

AtlasCross RAT viene con capacidades para facilitar la inyección de DLL dirigida en WeChat, secuestro de sesiones RDP, terminación activa de conexiones a nivel TCP de productos de seguridad chinos (por ejemplo, 360 Safe, Huorong, Kingsoft y QQ PC Manager) en lugar de utilizar la técnica Bring Your Own Vulnerable Driver (BYOVD), operaciones de archivos y shell, y creación persistente de tareas programadas.

«AtlasAgent/AtlasCross RAT representa la evolución actual de las herramientas del grupo, basándose en las bases del protocolo Gh0st RAT consistentes con el linaje ValleyRAT y Winos 4.0», añadió la compañía. «La incorporación del marco PowerChell y una cadena de derivación de seguridad integral marca una mejora significativa de la capacidad».

En un informe publicado a principios de este mes, el proveedor de seguridad chino Knownsec 404 caracterizó a Silver Fox como una de las «amenazas cibernéticas más activas» de los últimos años, dirigida al personal directivo y financiero de las organizaciones a través de WeChat, QQ, correos electrónicos de phishing y sitios de herramientas falsas para infectarlos con malware que permita el control remoto, el robo de datos y el fraude financiero.

«La estrategia de dominios de Silver Fox depende de una gran imitación de los dominios oficiales combinados con un etiquetado regional para eliminar las sospechas de los usuarios», dijo la empresa. dicho. «Los operadores utilizan un enfoque múltiple (errores tipográficos, secuestro de dominios y manipulación de DNS) para crear una fachada de legitimidad».

También se ha observado que campañas de ataque recientes pasan de ValleyRAT entregado a través de archivos adjuntos PDF maliciosos en correos electrónicos de phishing dirigidos a organizaciones taiwanesas a abusar de una herramienta china legítima pero mal configurada de monitoreo y administración remota (RMM) llamada SyncFuture TSM, y luego a implementar un ladrón basado en Python disfrazado de una aplicación de WhatsApp.

Estos ataques se han dirigido a entidades en Japón, Malasia, Filipinas, Tailandia, Indonesia, Singapur e India desde al menos diciembre de 2025. Algunos aspectos de la campaña fueron destacados previamente por eSentire en enero de 2026, y los ataques utilizaron señuelos con temas fiscales para apuntar a usuarios indios con el malware Blackmoon.

El uso de ValleyRAT por parte de Silver Fox junto con herramientas RMM y un ladrón personalizado destaca un arsenal flexible que permite al adversario adaptar rápidamente sus cadenas de infección y realizar operaciones estratégicas avanzadas en conjunto con campañas con fines de lucro en el sur de Asia, mientras mantiene el acceso a largo plazo a los sistemas comprometidos.

«El grupo mantiene un modelo de doble vía, ejecutando campañas amplias y oportunistas junto con sus operaciones más sofisticadas mediante la evolución continua de sus herramientas», dijo la empresa francesa de ciberseguridad Sekoia. dicho. «La segunda y tercera campañas basadas en la herramienta RMM y el ladrón Python parecen alinearse más estrechamente con el cibercrimen oportunista que con las operaciones APT».

A partir de la semana pasada, el grupo de hackers también ha sido atribuido a una campaña activa de phishing que utiliza señuelos persuasivos de phishing relacionados con violaciones de cumplimiento tributario, ajustes salariales, cambios de puesto de trabajo y planes de propiedad de acciones de los empleados para identificar a los fabricantes japoneses y otras empresas e infectarlos con ValleyRAT.

«Una vez implementado, ValleyRAT permite al actor tomar control remoto de la máquina comprometida, recopilar información confidencial, monitorear la actividad del usuario y mantener la persistencia en el entorno objetivo», ESET dicho. «Esto puede permitir al atacante profundizar en la red, robar datos confidenciales o preparar etapas adicionales de un ataque».

Investigadores de ciberseguridad han revelado detalles de un grupo de amenazas persistentes avanzadas (APT) denominado Dragón plateado que se ha relacionado con ataques cibernéticos dirigidos a entidades en Europa y el sudeste asiático desde al menos mediados de 2024.

«Silver Dragon obtiene su acceso inicial explotando servidores de Internet públicos y enviando correos electrónicos de phishing que contienen archivos adjuntos maliciosos», Check Point dicho en un informe técnico. «Para mantener la persistencia, el grupo secuestra servicios legítimos de Windows, lo que permite que los procesos de malware se mezclen con la actividad normal del sistema».

Se estima que Silver Dragon opera dentro del marco de APT41. APT41 es el criptonimo asignado a un prolífico grupo de hackers chino conocido por su objetivo de ciberespionaje en los sectores de salud, telecomunicaciones, alta tecnología, educación, servicios de viajes y medios de comunicación ya en 2012. También se cree que participa en actividades con motivación financiera potencialmente fuera del control estatal.

Se ha descubierto que los ataques organizados por Silver Dragon apuntan principalmente a entidades gubernamentales, y el adversario utiliza balizas Cobalt Strike para persistir en los hosts comprometidos. También se sabe que emplea técnicas como el túnel DNS para la comunicación de comando y control (C2) para evitar la detección.

Check Point dijo que identificó tres cadenas de infección diferentes para entregar Cobalt Strike: Secuestro de dominio de aplicaciónDLL de servicio y phishing basado en correo electrónico.

«Las dos primeras cadenas de infección, el secuestro de AppDomain y el Service DLL, muestran una clara superposición operativa», dijo la empresa de ciberseguridad. «Ambas se entregan a través de archivos comprimidos, lo que sugiere su uso en escenarios posteriores a la explotación. En varios casos, estas cadenas se implementaron tras el compromiso de servidores vulnerables expuestos públicamente».

Las dos cadenas utilizan un archivo RAR que contiene un script por lotes, y la primera cadena lo utiliza para colocar MonikerLoader, un cargador basado en NET responsable de descifrar y ejecutar una segunda etapa directamente en la memoria. La segunda etapa, por su parte, imita el comportamiento de MonikerLoader, actuando como un conducto para cargar la carga útil final de la baliza Cobalt Strike.

Por otro lado, la cadena de DLL del servicio utiliza un script por lotes para entregar un cargador de DLL de código shell denominado BamboLoader, que está registrado como un servicio de Windows. Es un malware C++ muy ofuscado que se utiliza para descifrar y descomprimir el código shell almacenado en el disco e inyectarlo en un proceso legítimo de Windows, como «taskhost.exe». El binario destinado a la inyección se puede configurar dentro de BamboLoader.

La tercera cadena de infección implica una campaña de phishing dirigida principalmente a Uzbekistán con accesos directos maliciosos de Windows (LNK) como archivos adjuntos. El archivo LNK armado está diseñado para iniciar código PowerShell mediante «cmd.exe», lo que lleva a la extracción y ejecución de cargas útiles de la siguiente etapa. Esto incluye cuatro archivos diferentes:

• documento señuelo
• Ejecutable legítimo vulnerable a la carga lateral de DLL («GameHook.exe»)
• DLL maliciosa también conocida como BamboLoader («graphics-hook-filter64.dll»)
• Carga útil cifrada de Cobalt Strike («simhei.dat»)

Como parte de esta campaña, el documento señuelo se muestra a la víctima, mientras que, en segundo plano, la DLL maliciosa se descarga a través de «GameHook.exe» para finalmente iniciar Cobalt Strike. Los ataques también se caracterizan por el despliegue de diversas herramientas posteriores a la explotación:

• Pantalla plateadauna herramienta de monitoreo de pantalla .NET utilizada para capturar capturas de pantalla periódicas de la actividad del usuario, incluida la posición precisa del cursor.
• SSHcmduna utilidad SSH de línea de comandos .NET que proporciona ejecución remota de comandos y capacidades de transferencia de archivos a través de SSH.
• Puerta de engranajesuna puerta trasera NET que comparte similitudes con MonikerLoader y se comunica con su infraestructura C2 a través de Google Drive.

Una vez ejecutada, la puerta trasera se autentica en la cuenta de Google Drive controlada por el atacante y carga un archivo de latido que contiene información básica del sistema. Curiosamente, la puerta trasera utiliza diferentes extensiones de archivo para indicar la naturaleza de la tarea a realizar en el host infectado. Los resultados de la ejecución de la tarea se capturan y cargan en Drive.

• *.pngpara enviar archivos de latidos.
• *.pdfpara recibir y ejecutar comandos, enumerar el contenido de un directorio, crear un nuevo directorio y eliminar todos los archivos dentro de un directorio específico. Los resultados de la operación se envían al servidor en forma de archivo *.db.
• *.taxipara recibir y ejecutar comandos para recopilar información del host y una lista de procesos en ejecución, enumerar archivos y directorios, ejecutar comandos a través de «cmd.exe» o tareas programadas, cargar archivos en Google Drive y finalizar el implante. El estado de ejecución se carga como un archivo .bak.
• *.rarpara recibir y ejecutar cargas útiles. Si el archivo RAR se llama «wiatrace.bak», la puerta trasera lo trata como un paquete de actualización automática. Los resultados se cargan como archivos .bak.
• *.7zpara recibir y ejecutar complementos en la memoria. Los resultados se cargan como archivos .bak.

Los vínculos de Silver Dragon con APT41 se derivan de superposiciones comerciales con scripts de instalación posteriores a la explotación anteriores. atribuido a este último y el hecho de que el mecanismo de descifrado utilizado por BamboLoader se ha observado en cargadores de shellcode vinculados a la actividad APT del nexo con China.

«El grupo evoluciona continuamente sus herramientas y técnicas, probando e implementando activamente nuevas capacidades en diferentes campañas», dijo Check Point. «El uso de diversos exploits de vulnerabilidad, cargadores personalizados y comunicación C2 sofisticada basada en archivos refleja un grupo de amenazas adaptable y con buenos recursos».