AtlasCross RAT

Une vaste campagne de cyberattaques cible activement les utilisateurs sinophones via des domaines usurpés imitant des marques de logiciels de confiance. Ces sites web trompeurs sont conçus pour diffuser un cheval de Troie d'accès à distance jusqu'alors inconnu, connu sous le nom d'AtlasCross RAT. La campagne exploite la confiance des utilisateurs dans des applications largement utilisées, telles que les clients VPN, les plateformes de messagerie chiffrée, les outils de visioconférence, les traqueurs de cryptomonnaies et les logiciels de commerce électronique.

L'infrastructure comprend onze domaines malveillants confirmés qui usurpent l'identité de services connus tels que Surfshark VPN, Signal, Telegram, Zoom et Microsoft Teams. Cette usurpation d'identité stratégique accroît les chances de réussite des infections en exploitant la notoriété de ces marques.

Profil de l'acteur menaçant : Le collectif Silver Fox

Cette campagne a été attribuée à un groupe de cybercriminels chinois particulièrement actif, connu sous le nom de Silver Fox. Ce groupe opère sous plusieurs pseudonymes, dont SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 et Void Arachne. Les chercheurs en sécurité le considèrent comme l'une des cybermenaces les plus actives de ces dernières années, notamment en raison de ses attaques répétées contre les cadres et les financiers des entreprises.

Le groupe Silver Fox utilise divers vecteurs d'infection, tels que les plateformes de messagerie, les courriels d'hameçonnage et les sites de distribution de logiciels contrefaits. Ses objectifs comprennent le contrôle à distance des systèmes, l'exfiltration de données sensibles et la fraude financière.

Évolution des logiciels malveillants : du RAT Gh0st à AtlasCross

L'apparition d'AtlasCross RAT marque une avancée significative dans la panoplie de logiciels malveillants de Silver Fox. Les opérations précédentes reposaient largement sur des variantes dérivées de Gh0st RAT, notamment ValleyRAT (également connu sous le nom de Winos 4.0), Gh0stCringe et HoldingHands RAT (Gh0stBins). AtlasCross représente une évolution plus sophistiquée, intégrant des mécanismes de furtivité, d'exécution et de persistance améliorés.

Rupture de la chaîne d'infection : de l'appât à l'exécution

La chaîne d'attaque débute par des sites web frauduleux qui incitent les utilisateurs à télécharger des archives ZIP. Ces archives contiennent des installateurs qui déploient une application leurre légitime et un binaire Autodesk piégé. L'installateur malveillant lance un chargeur de shellcode qui déchiffre une configuration embarquée dérivée du RAT Gh0st.

Ce processus extrait les détails de commande et de contrôle (C2) et récupère une charge utile de deuxième étape à partir du domaine « bifa668.com » sur le port TCP 9899. L'étape finale aboutit à l'exécution en mémoire d'AtlasCross RAT, réduisant considérablement la détection par les outils de sécurité traditionnels.

Infrastructures malveillantes : domaines militarisés

La campagne révèle une infrastructure coordonnée, la plupart des domaines malveillants ayant été enregistrés le 27 octobre 2025, ce qui indique une planification délibérée. Parmi les domaines confirmés utilisés pour la diffusion de logiciels malveillants, on trouve :

app-zoom.com
eyy-eyy.com
kefubao-pc.com
quickq-quickq.com
signal-signal.com
telegrtam.com.cn
trezor-trezor.com
ultraviewer-cn.com
wwwtalk-app.com
www-surfshark.com
www-teams.com

Ces domaines imitent de près les services légitimes, intégrant souvent de subtiles variations typographiques ou des identifiants régionaux pour éviter les soupçons.

Abus de confiance : Certificats de signature de code volés

Tous les programmes d'installation malveillants identifiés sont signés à l'aide du même certificat de signature de code à validation étendue (EV) volé, émis au nom de DUC FABULOUS CO., LTD, une société basée à Hanoï, au Vietnam. La réutilisation de ce certificat dans plusieurs campagnes de logiciels malveillants sans lien entre elles suggère une large diffusion au sein de l'écosystème cybercriminel. Cette tactique renforce la crédibilité perçue des fichiers binaires malveillants et contribue à contourner les systèmes de sécurité.

Fonctionnalités avancées : À l'intérieur d'AtlasCross RAT

AtlasCross RAT offre un ensemble de fonctionnalités puissantes conçues pour la furtivité, la persistance et le contrôle. Il intègre le framework PowerShell, un moteur d'exécution PowerShell natif en C/C++ qui intègre le Common Language Runtime (CLR) de .NET directement dans le processus du logiciel malveillant.

Avant d'exécuter des commandes, le logiciel malveillant désactive des mécanismes de sécurité essentiels tels que AMSI, ETW, le mode de langage contraint et la journalisation ScriptBlock. La communication avec les serveurs de commande et de contrôle est chiffrée à l'aide de ChaCha20, avec des clés aléatoires par paquet générées par un générateur de nombres aléatoires matériel.

Les principales fonctionnalités comprennent :

• Injection ciblée de DLL dans WeChat
• Détournement de session du protocole RDP (Remote Desktop Protocol)
• Interruption des connexions au niveau TCP provenant d'outils de sécurité chinois tels que 360 Safe, Huorong, Kingsoft et QQ PC Manager
• Manipulation du système de fichiers et exécution de commandes shell
• Persistance grâce à la création de tâches planifiées

Stratégie opérationnelle : La tromperie à grande échelle

Silver Fox utilise une stratégie de noms de domaine à plusieurs niveaux pour maintenir sa crédibilité et échapper à la détection. Cette stratégie inclut le typosquatting, le détournement de noms de domaine et la manipulation DNS, souvent combinés à des conventions de nommage spécifiques à certaines régions afin de réduire les soupçons des utilisateurs. La capacité du groupe à reproduire de manière convaincante des services légitimes joue un rôle crucial dans l'efficacité de sa campagne.

Expansion des vecteurs d'attaque à travers l'Asie

Depuis au moins décembre 2025, le groupe a étendu ses activités à de nombreux pays, dont le Japon, la Malaisie, les Philippines, la Thaïlande, l'Indonésie, Singapour et l'Inde. Ses méthodes d'attaque ont évolué, passant des courriels d'hameçonnage contenant des pièces jointes PDF malveillantes à l'exploitation abusive d'outils de surveillance et de gestion à distance légitimes mais mal configurés, tels que SyncFuture TSM.

Des campagnes ultérieures ont également utilisé un voleur d'informations basé sur Python, déguisé en application WhatsApp. Des activités antérieures, en janvier 2026, consistaient à utiliser des appâts liés à la fiscalité pour cibler des utilisateurs indiens avec le logiciel malveillant Blackmoon.

Arsenal flexible : Opérations de cybercriminalité adaptatives

Silver Fox fait preuve d'une grande flexibilité opérationnelle en combinant plusieurs familles de logiciels malveillants et techniques. L'utilisation de ValleyRAT, associée à des outils RMM et à des voleurs de données personnalisés basés sur Python, permet une adaptation rapide des chaînes d'infection. Cette polyvalence prend en charge aussi bien les campagnes opportunistes de grande envergure que les attaques stratégiques plus ciblées.

Le groupe opère selon un modèle à deux volets, équilibrant les attaques de grande envergure avec des opérations plus sophistiquées conçues pour un accès système à long terme et une infiltration réseau plus profonde.

Précision du spear phishing : Ciblage des entreprises victimes

Outre ses vastes campagnes de phishing, Silver Fox mène des attaques ciblées de spear-phishing visant des secteurs spécifiques, notamment les fabricants japonais. Ces attaques utilisent des appâts très convaincants liés à la conformité fiscale, aux ajustements salariaux, aux changements d'emploi et aux plans d'actionnariat salarié.

Une fois déployé, ValleyRAT permet aux attaquants de :

• Obtenez le contrôle total à distance des systèmes infectés
• Collecte de données sensibles et financières
• Surveillez l'activité des utilisateurs en temps réel
• Maintenir la persistance au sein du réseau

Ce niveau d'accès permet aux acteurs malveillants d'intensifier leurs attaques, d'exfiltrer des informations confidentielles et de se préparer à des phases d'exploitation ultérieures au sein d'environnements compromis.