{"id":413,"date":"2026-03-31T15:33:18","date_gmt":"2026-03-31T15:33:18","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/31\/silver-fox-amplia-la-campana-cibernetica-de-asia-con-atlascross-rat-y-dominios-falsos-cyberdefensa-mx\/"},"modified":"2026-03-31T15:33:18","modified_gmt":"2026-03-31T15:33:18","slug":"silver-fox-amplia-la-campana-cibernetica-de-asia-con-atlascross-rat-y-dominios-falsos-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/31\/silver-fox-amplia-la-campana-cibernetica-de-asia-con-atlascross-rat-y-dominios-falsos-cyberdefensa-mx\/","title":{"rendered":"Silver Fox ampl\u00eda la campa\u00f1a cibern\u00e9tica de Asia con AtlasCross RAT y dominios falsos \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"<div id=\"articlebody\">\n<p>Los usuarios de habla china son el objetivo de una campa\u00f1a activa que utiliza dominios con errores tipogr\u00e1ficos que se hacen pasar por marcas de software confiables para entregar un troyano de acceso remoto previamente indocumentado llamado <strong>AtlasCross RAT<\/strong>.<\/p>\n<p>\u00abLa operaci\u00f3n cubre clientes VPN, mensajer\u00eda cifrada, herramientas de videoconferencia, rastreadores de criptomonedas y aplicaciones de comercio electr\u00f3nico, con once dominios de entrega confirmados que se hacen pasar por marcas como Surfshark VPN, Signal, Telegram, Zoom, Microsoft Teams y otras\u00bb, dijo la empresa de ciberseguridad con sede en Alemania Hexastrike. <a href=\"https:\/\/hexastrike.com\/resources\/blog\/threat-intelligence\/trust-the-tunnel-get-the-trojan-silver-fox-delivers-atlascross-rat-via-weaponized-vpn-installers\/\" rel=\"noopener\" target=\"_blank\">dicho<\/a> en un informe publicado la semana pasada.<\/p>\n<p>La actividad se ha atribuido a un grupo de cibercrimen chino llamado Silver Fox, al que tambi\u00e9n se le sigue como SwimSnake, The Great Thief of Valley (o Valley Thief), UTG-Q-1000 y Void Arachne.<\/p>\n<p>El descubrimiento de AtlasCross RAT representa una evoluci\u00f3n del arsenal del actor de amenazas a partir de derivados de Gh0st RAT como ValleyRAT (tambi\u00e9n conocido como Winos 4.0), Gh0stCringe y HoldingHands RAT (tambi\u00e9n conocido como Gh0stBins).<\/p>\n<p>Las cadenas de ataques implican el uso de sitios web falsos como se\u00f1uelo para enga\u00f1ar a los usuarios para que descarguen archivos ZIP que contienen un instalador que coloca un binario troyanizado de Autodesk junto con la aplicaci\u00f3n se\u00f1uelo leg\u00edtima.<\/p>\n<p>El instalador troyanizado de AutoDesk, a su vez, inicia un cargador de c\u00f3digo shell que descifra una configuraci\u00f3n integrada de Gh0st RAT para extraer los detalles de comando y control (C2) y luego descarga una carga \u00fatil de c\u00f3digo shell de segunda etapa desde \u00abbifa668\u2033.[.]com\u00bb a trav\u00e9s de TCP en el puerto 9899, \u200b\u200blo que finalmente conduce a la ejecuci\u00f3n de AtlasCross RAT en la memoria.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/not-fast-enough-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEhlXM830ruQd2xT6M7JNeNRjaFa1onD12WjSCHihTFMTzbyfT9h-irPmXy_h3E1HGSs6sdv7FTmnyNVTM5kmSb7BuUtZe8gKoTQt99P1sSzRcqqXpOJP6eoAOhR3DGb6qHx9kOZ_HBZUMmVnsnd0DM7QfUp81bgzTvvgLww6oqB-EhnDfWXH5pWCYhAsyLs\/s728-e100\/tl-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>La mayor\u00eda de los sitios web falsos se registraron en un solo d\u00eda, el 27 de octubre de 2025, lo que indica un enfoque deliberado detr\u00e1s de la campa\u00f1a. La lista de dominios de entrega de malware confirmados se muestra a continuaci\u00f3n:<\/p>\n<ul>\n<li>aplicaci\u00f3n-zoom.com (Zoom)<\/li>\n<li>eyy-eyy.com (desconocido)<\/li>\n<li>kefubao-pc.com (KeFuBao, un software chino de atenci\u00f3n al cliente para comercio electr\u00f3nico)<\/li>\n<li>quickq-quickq.com (QuickQ VPN)<\/li>\n<li>signal-signal.com (Se\u00f1al)<\/li>\n<li>telegrtam.com.cn (Telegrama)<\/li>\n<li>trezor-trezor.com (Trezor)<\/li>\n<li>ultraviewer-cn.com (UltraViewer)<\/li>\n<li>wwtalk-app.com (WangWang)<\/li>\n<li>www-surfshark.com (VPN de Surfshark)<\/li>\n<li>www-teams.com (equipos de Microsoft)<\/li>\n<\/ul>\n<p>Se ha descubierto que todos los paquetes de instalaci\u00f3n identificados llevan el mismo certificado de firma de c\u00f3digo de validaci\u00f3n extendida robado emitido a DUC FABULOUS CO.,LTD, una entidad vietnamita registrada en Hanoi. El hecho de que el mismo certificado haya sido <a href=\"https:\/\/www.elastic.co\/guide\/en\/security\/8.19\/prebuilt-rule-8-19-1-first-time-seen-commonly-abused-remote-access-tool-execution.html\" rel=\"noopener\" target=\"_blank\">usado<\/a> en otras campa\u00f1as de malware no relacionadas ha planteado la posibilidad de una reutilizaci\u00f3n generalizada dentro del ecosistema cibercriminal para dar a las cargas maliciosas un barniz de legitimidad y eludir los controles de seguridad.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjALoDsXqj6_iytDdB9q6calZ7q0LogXTXeQqQtj4LViMHBIsezGtPmEkadT2Dn4NNKkFZ86VZ4k9QYcMktvXkWcBJ7iJ1XpSGBIxBx5wSwJ13g_4DCsXQChOfrqOx_WY2Gwao0erjafU3sZxTMqgD_2VZMwdrQ_oUeSMhcHbri0BLwaaxGQIjaKWLV1Gkq\/s1700-e365\/victim.png\" style=\"display: block;  text-align: center; clear: left; float: left;\"><img decoding=\"async\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjALoDsXqj6_iytDdB9q6calZ7q0LogXTXeQqQtj4LViMHBIsezGtPmEkadT2Dn4NNKkFZ86VZ4k9QYcMktvXkWcBJ7iJ1XpSGBIxBx5wSwJ13g_4DCsXQChOfrqOx_WY2Gwao0erjafU3sZxTMqgD_2VZMwdrQ_oUeSMhcHbri0BLwaaxGQIjaKWLV1Gkq\/s1700-e365\/victim.png\" alt=\"\" border=\"0\" data-original-height=\"446\" data-original-width=\"1024\"\/><\/a><\/div>\n<p>\u00abEl RAT incorpora el marco PowerChell, un motor de ejecuci\u00f3n nativo de C\/C++ PowerShell que aloja .NET CLR directamente dentro del proceso de malware y desactiva AMSI, ETW, modo de lenguaje restringido y el registro de ScriptBlock antes de ejecutar cualquier comando\u00bb, dijo Hexastrike. \u00abEl tr\u00e1fico C2 se cifra con ChaCha20 utilizando claves aleatorias por paquete generadas mediante RNG de hardware\u00bb.<\/p>\n<p>AtlasCross RAT viene con capacidades para facilitar la inyecci\u00f3n de DLL dirigida en WeChat, secuestro de sesiones RDP, terminaci\u00f3n activa de conexiones a nivel TCP de productos de seguridad chinos (por ejemplo, 360 Safe, Huorong, Kingsoft y QQ PC Manager) en lugar de utilizar la t\u00e9cnica Bring Your Own Vulnerable Driver (BYOVD), operaciones de archivos y shell, y creaci\u00f3n persistente de tareas programadas.<\/p>\n<p>\u00abAtlasAgent\/AtlasCross RAT representa la evoluci\u00f3n actual de las herramientas del grupo, bas\u00e1ndose en las bases del protocolo Gh0st RAT consistentes con el linaje ValleyRAT y Winos 4.0\u00bb, a\u00f1adi\u00f3 la compa\u00f1\u00eda. \u00abLa incorporaci\u00f3n del marco PowerChell y una cadena de derivaci\u00f3n de seguridad integral marca una mejora significativa de la capacidad\u00bb.<\/p>\n<p>En un informe publicado a principios de este mes, el proveedor de seguridad chino Knownsec 404 caracteriz\u00f3 a Silver Fox como una de las \u00abamenazas cibern\u00e9ticas m\u00e1s activas\u00bb de los \u00faltimos a\u00f1os, dirigida al personal directivo y financiero de las organizaciones a trav\u00e9s de WeChat, QQ, correos electr\u00f3nicos de phishing y sitios de herramientas falsas para infectarlos con malware que permita el control remoto, el robo de datos y el fraude financiero.<\/p>\n<p>\u00abLa estrategia de dominios de Silver Fox depende de una gran imitaci\u00f3n de los dominios oficiales combinados con un etiquetado regional para eliminar las sospechas de los usuarios\u00bb, dijo la empresa. <a href=\"https:\/\/medium.com\/@knownsec404team\/unmasking-silverfoxs-new-trends-decoding-evasion-tactics-domain-impersonation-and-8a7f03571186\" rel=\"noopener\" target=\"_blank\">dicho<\/a>. \u00abLos operadores utilizan un enfoque m\u00faltiple (errores tipogr\u00e1ficos, secuestro de dominios y manipulaci\u00f3n de DNS) para crear una fachada de legitimidad\u00bb.<\/p>\n<p>Tambi\u00e9n se ha observado que campa\u00f1as de ataque recientes pasan de ValleyRAT entregado a trav\u00e9s de archivos adjuntos PDF maliciosos en correos electr\u00f3nicos de phishing dirigidos a organizaciones taiwanesas a abusar de una herramienta china leg\u00edtima pero mal configurada de monitoreo y administraci\u00f3n remota (RMM) llamada SyncFuture TSM, y luego a implementar un ladr\u00f3n basado en Python disfrazado de una aplicaci\u00f3n de WhatsApp.<\/p>\n<p>Estos ataques se han dirigido a entidades en Jap\u00f3n, Malasia, Filipinas, Tailandia, Indonesia, Singapur e India desde al menos diciembre de 2025. Algunos aspectos de la campa\u00f1a fueron destacados previamente por eSentire en enero de 2026, y los ataques utilizaron se\u00f1uelos con temas fiscales para apuntar a usuarios indios con el malware Blackmoon.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/ciso-risk-comm-cert-li-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjoqpwvMkmQTpI6oFBcM5sjZJ4sJ2YplYYhb-ceY5aPYSXjkfcX-xHTDS-SMK3wzNy_kFuH4yN1umKPloMnloAmmRc5nXo64laMkM5neZzco95ZJXnRH-iV-6vAXRDv8vCSgWdcloM_rsNLykF6rlZbcXQ2n2fT-No23La_8rS67S8terJhozZU9JPmB9kO\/s728-e100\/ciso-light-d.png\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>El uso de ValleyRAT por parte de Silver Fox junto con herramientas RMM y un ladr\u00f3n personalizado destaca un arsenal flexible que permite al adversario adaptar r\u00e1pidamente sus cadenas de infecci\u00f3n y realizar operaciones estrat\u00e9gicas avanzadas en conjunto con campa\u00f1as con fines de lucro en el sur de Asia, mientras mantiene el acceso a largo plazo a los sistemas comprometidos.<\/p>\n<p>\u00abEl grupo mantiene un modelo de doble v\u00eda, ejecutando campa\u00f1as amplias y oportunistas junto con sus operaciones m\u00e1s sofisticadas mediante la evoluci\u00f3n continua de sus herramientas\u00bb, dijo la empresa francesa de ciberseguridad Sekoia. <a href=\"https:\/\/blog.sekoia.io\/silver-fox-the-only-tax-audit-where-the-fine-print-installs-malware\/\" rel=\"noopener\" target=\"_blank\">dicho<\/a>. \u00abLa segunda y tercera campa\u00f1as basadas en la herramienta RMM y el ladr\u00f3n Python parecen alinearse m\u00e1s estrechamente con el cibercrimen oportunista que con las operaciones APT\u00bb.<\/p>\n<p>A partir de la semana pasada, el grupo de hackers tambi\u00e9n ha sido atribuido a una campa\u00f1a activa de phishing que utiliza se\u00f1uelos persuasivos de phishing relacionados con violaciones de cumplimiento tributario, ajustes salariales, cambios de puesto de trabajo y planes de propiedad de acciones de los empleados para identificar a los fabricantes japoneses y otras empresas e infectarlos con ValleyRAT.<\/p>\n<p>\u00abUna vez implementado, ValleyRAT permite al actor tomar control remoto de la m\u00e1quina comprometida, recopilar informaci\u00f3n confidencial, monitorear la actividad del usuario y mantener la persistencia en el entorno objetivo\u00bb, ESET <a href=\"https:\/\/www.welivesecurity.com\/en\/business-security\/cunning-predator-how-silver-fox-preys-japanese-firms-tax-season\/\" rel=\"noopener\" target=\"_blank\">dicho<\/a>. \u00abEsto puede permitir al atacante profundizar en la red, robar datos confidenciales o preparar etapas adicionales de un ataque\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Los usuarios de habla china son el objetivo de una campa\u00f1a activa que utiliza dominios con errores tipogr\u00e1ficos que se hacen pasar por marcas de software confiables para entregar un troyano de acceso remoto previamente indocumentado llamado AtlasCross RAT. \u00abLa operaci\u00f3n cubre clientes VPN, mensajer\u00eda cifrada, herramientas de videoconferencia, rastreadores de criptomonedas y aplicaciones de [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":108,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[1425,1426,1427,133,593,31,24,1428,57,1424,209,412],"class_list":["post-413","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-amplia","tag-asia","tag-atlascross","tag-campana","tag-cibernetica","tag-con","tag-cyberdefensa-mx","tag-dominios","tag-falsos","tag-fox","tag-rat","tag-silver"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/413","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=413"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/413\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/108"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=413"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=413"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=413"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}