Киберпреступная группировка Silver Fox, известная также под именами Void Arachne и SwimSnake, развернула масштабную кампанию, нацеленную на китайскоязычную аудиторию. Злоумышленники создали сеть из одиннадцати подставных доменов, которые имитируют популярные приложения: VPN-клиенты, мессенджеры, инструменты для видеоконференций, криптокошельки и программы для электронной коммерции. Жертвы, скачивающие установщики с таких сайтов, получают не безобидную утилиту, а многоступенчатую цепочку заражения, завершающуюся внедрением в память удалённого трояна Atlas RAT.
Описание
Особую тревогу вызывает тот факт, что все обнаруженные пакеты установки подписаны похищенным сертификатом расширенной проверки (EV-сертификат), выданным вьетнамской компании DUC FABULOUS CO.,LTD. Это придаёт вредоносному файлу видимость легитимности: он не вызывает подозрений ни у пользователей, ни у автоматических систем проверки. Сертификат действителен до мая 2027 года и, судя по всему, циркулирует в криминальной среде, а не используется исключительно Silver Fox. Такая практика указывает на наличие теневого рынка краденых подписей.
Схема атаки начинается с того, что жертва попадает на один из подставных сайтов, адрес которого отличается от настоящего всего на пару символов (так называемый тайпсквоттинг). Страницы выглядят убедительно - дизайн и брендинг скопированы, крупные кнопки загрузки ведут к архиву. Внутри архива находится трёхуровневый установщик, созданный с помощью легитимного инструмента Setup Factory. Первый уровень - обёртка, которая извлекает второй уровень, а тот уже запускает троянизированную программу-загрузчик и легитимное приложение-приманку (как правило, UltraViewer - программу для удалённого доступа). Такая вложенность существенно усложняет анализ и обход песочниц.
Ключевым элементом загрузчика является файл Schools.exe - взломанный установщик Autodesk. Исследователи обнаружили, что оригинальная программа была собрана на сервере непрерывной интеграции Autodesk и впоследствии украдена и модифицирована. Из примерно двухсот функций в бинарном файле лишь пять принадлежат атакующим. Вся остальная часть - это оригинальный код Autodesk, выступающий в роли "мёртвого груза", который маскирует вредоносную логику и делает бинарный файл похожим на обычную программу. Точка входа перенаправлена на шелл-код, который разрешает необходимые API-вызовы через динамический поиск в процессе (PEB walking) с использованием хэширования ROR13, полностью минуя статическую таблицу импорта.
Шелл-код извлекает зашифрованную конфигурацию, применяя позиционно-зависимую схему XOR. В расшифрованном блоке обнаруживается адрес C2-сервера (командного центра) - bifa668.com и порт 9899. Затем загрузчик устанавливает TCP-соединение и передаёт 8-байтовый маяк (SFuck), после чего получает 386 килобайт второго этапа - шелл-код, содержащий рефлексивный загрузчик PE и непосредственно библиотеку Atlas RAT. Весь процесс проходит без записи на диск: финальная полезная нагрузка существует только в оперативной памяти.
Сам RAT имеет внутреннее название MainDll.dll и размер 272 КБ. Его единственная экспортируемая функция AtlasInfo запускает инициализацию: создаёт мьютекс для предотвращения повторного запуска, выполняет WMI-запрос к видеокарте (вероятно, для обнаружения виртуальной среды), получает привилегию SeShutdownPrivilege для возможности перезагрузки системы и запускает три параллельных потока. Первый поток непрерывно перебирает активные TCP-соединения и принудительно разрывает те, что принадлежат китайским продуктам безопасности: 360 Safe, Huorong, Kingsoft и QQ PC Manager. Интересно, что злоумышленники перешли от грубого уничтожения процессов (которое они использовали ранее) к хирургическому разрыву сетевых соединений - антивирусы остаются запущенными, но теряют связь с облачными базами и не могут получить обновления сигнатур.
Второй поток реализует фреймворк PowerChell. Вместо запуска powershell.exe троян встраивает среду выполнения .NET CLR (Common Language Runtime) прямо в свой процесс. Он загружает сборку System.Management.Automation из глобального кэша сборок (GAC) и получает полный доступ к возможностям PowerShell, не порождая новый процесс интерпретатора. Перед выполнением любых команд PowerChell отключает четыре механизма защиты: AMSI (антивирусный интерфейс сканирования), ETW (трассировку событий Windows), режим ограниченного языка (Constrained Language Mode) и журналирование ScriptBlock. Таким образом злоумышленники получают полностью неограниченную среду PowerShell, невидимую для стандартных средств мониторинга.
Третий поток - основной цикл связи с командным центром. Трафик шифруется алгоритмом ChaCha20 с использованием случайных ключей, генерируемых для каждого пакета через аппаратный генератор случайных чисел (rdrand). Если полезная нагрузка превышает 10 КБ, она дополнительно сжимается zlib. В заголовке пакета передаётся ключ и nonce, что позволяет серверу расшифровать сообщение. Команды диспетчеризуются через виртуальную таблицу CKernelManager и включают удалённое управление сессиями, захват экрана, инжекцию процессов, скачивание и выполнение файлов, а также файловые операции. Предусмотрен и резервный HTTP-канал с user-agent "Mozilla/4.0 (compatible)".
Отдельно стоит отметить функцию внедрения DLL в процесс WeChat. При получении соответствующей команды троян записывает переданную DLL в каталог C:\Users\Public\Documents\Wxfun.dll и использует классическую технику CreateRemoteThread для её загрузки в адресное пространство WeChat.exe. Цель такого внедрения может быть разной - от перехвата сообщений до кражи учётных данных и токенов сессий. После завершения работы вредоносная DLL выгружается и файл удаляется.
Персистентность обеспечивается созданием задания в планировщике Windows по пути \Microsoft\Windows\AppID. Этот путь замаскирован под стандартные системные задачи. Имя исполняемого файла обфусцировано: каждый символ заключён в кавычки, что не мешает Windows его корректно выполнять, но сбивает с толку правила сигнатурного обнаружения. Механизм самоудаления использует манипуляцию приоритетами: троян поднимает свой приоритет до REALTIME, а затем запускает cmd.exe с пониженным приоритетом IDLE, который выполняет команду задержки ping и последующего удаления файла по короткому пути 8.3.
Список подтверждённых подставных доменов включает app-zoom.com, signal-signal.com, telegrtam.com.cn, trezor-trezor.com, www-surfshark.com, www-teams.com и другие. Большинство из них зарегистрировано через компанию Gname.com, расположено в диапазоне IP 38.165.24.0/21 и использует общую пару DNS-серверов a.share-dns.com / b.share-dns.net. Несколько доменов были зарегистрированы в один день - 27 октября 2025 года, что указывает на пакетную закупку инфраструктуры. Позднее кампания расширялась, появлялись новые домены. К моменту публикации некоторые из них уже перестали резолвиться, что свидетельствует о продуманной ротации.
Анализ образцов RAT DLL показал, что кампания активна как минимум с ноября 2025 года по март 2026-го, причём самый свежий образец был обнаружен всего за день до публикации отчёта. Это говорит о непрерывном, высокотемповом характере операции. Специалисты отмечают, что группировка заметно эволюционировала: внешний установщик сменился с Inno Setup на Setup Factory, завершение процессов через BYOVD (использование уязвимых драйверов) уступило место избирательному разрыву TCP-соединений, а базовый Gh0st RAT превратился в сложный фреймворк с нативным хостингом .NET и полным отключением защитных механизмов. Каждое изменение закрывает конкретные методы обнаружения, которыми раньше пользовались защитники, что говорит о возросшем уровне компетенции атакующих.
Для организаций, в чьих сетях работают китайскоязычные пользователи, эта угроза является актуальной и требует немедленного развёртывания мер безопасности. Специалисты рекомендуют блокировать на межсетевых экранах и DNS-шлюзах все известные C2-домены и IP-адреса, а также внедрить правила Suricata/Snort для сигнатуры начального маяка SFuck. Поведенческий мониторинг должен включать выявление загрузки библиотеки System.Management.Automation.dll процессами, отличными от powershell.exe - это один из наиболее точных признаков работы PowerChell. Присутствие в системной директории C:\Windows исполняемых файлов со случайными именами длиной 5-9 символов и конфигурационных файлов AtlasPro.ini или MODIf.html в каталоге Public Documents также должно быть немедленно расследовано.
Индикаторы компрометации
IPv4
- 61.111.250.139
Domains
- app-zoom.com
- bifa668.com
- eyy-eyy.com
- kefubao-pc.com
- quickq-quickq.com
- signal-signal.com
- telegrtam.com.cn
- trezor-trezor.com
- ultraviewer-cn.com
- wwtalk-app.com
- www-surfshark.com
- www-teams.com
SHA256
- 02401a2f2de8de15f00d637e555512fe3138c23e24ea1878f2cf2f647cf40b30
- 0896f5171a25ab6263598bb501d11413ffbbef05b168ff71b8d54ee9b81103b6
- 115a75d0ce595fc92f1acaa8b564c3f391325c34ddf34177c357a00306d6d216
- 1ad1f7d11bb1e6183ce20403ede42e65dba17a6ab660883ea1446ad331d69302
- 3372ae716f20eedd3b7d77d08d7010e8424ca5cec781bde4fe3ec76d466cfe8f
- 42da0ad45bfe9b7f82247d780a32e128e0b00846fe76eea96250e3088f54909b
- 49220c1046014c88720cceaf148ec83e3cd644e61fe339d1217f1a22ccf51614
- 49ef5e6e6257d082073e000f9a0129f289ed715a288e19cc32344dc054c54ca6
- 5841ad433ab199bb784a4d33fd629101d22de6e44dce0606c08b92f8b4709380
- 797e1b6b5c37fec6c7a4629ca2f60b922f2212cf11946ecc23b0ca2faf8e3b99
- 8009908c6c76a72e20e4020a9f9eb9e4d4203507f67a624ecf7f4ed672cf4b68
- 817295bf52e243fb8632529133ccd04820d58352efca5928f34c7248c7f1932d
- 8cecb015075094fe42d613a371480ba5f5813c931eb48eb7b893dac835172b37
- 97f2b246627cc7afe3ed524b63a846e30ee37c81143493ab70c30ee0568dde86
- 99c0e015c7b8d3df609b370ec3329be55c94797c92c24ec512f6546acdf1e246
- a481befbec1d49041202331cdbf01a3e9cda8f714b8cbdfb52c676c7a5d7bdf7
- d67545f666e89419c0ccd0346929b1906b46eb8b3cff2b94671c6d5755e81f3e
- e3f04545fb59d2943a4a30cd1b6fa39cb36e1e803301ab2ca5fad2bca84f04dd
- e6d6cd85f12ee43cbd16d2da0dc49b023035b1c3fdf7e71b156bb760fdef8d5e
- fa5d3a9eebf9310148e7b980fefa7bc3f3a8e8ee7a8d0bd21a057c54c5a47560
- fcc959730c9103d23975bbb41faf84a7f1dd75971f5baff9335bd9a346b0edee