Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Malware AtlasCross RAT

AtlasCross RAT

Von Mezo in Malware, Erweiterte, anhaltende Bedrohung (APT), Tools zur Remoteverwaltung
Übersetzen Sie in:

Eine groß angelegte Cyberangriffskampagne zielt aktiv auf chinesischsprachige Nutzer ab. Dabei werden Domains durch Typosquatting imitiert, die vertrauenswürdige Softwaremarken imitieren. Diese betrügerischen Websites dienen der Verbreitung eines bisher unbekannten Remote-Access-Trojaners namens AtlasCross RAT. Die Kampagne nutzt das Vertrauen der Nutzer in weit verbreitete Anwendungen aus, darunter VPN-Clients, verschlüsselte Messaging-Plattformen, Videokonferenz-Tools, Kryptowährungs-Tracker und E-Commerce-Software.

Die Infrastruktur umfasst elf bestätigte Schad-Domains, die bekannte Dienste wie Surfshark VPN, Signal, Telegram, Zoom und Microsoft Teams imitieren. Diese strategische Nachahmung erhöht die Wahrscheinlichkeit erfolgreicher Infektionen durch Ausnutzung der Markenbekanntheit.

Bedrohungsakteurprofil: Das Silver Fox Kollektiv

Die Kampagne wird der bekannten chinesischen Cyberkriminellengruppe Silver Fox zugeschrieben. Diese Gruppe operiert unter verschiedenen Pseudonymen, darunter SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 und Void Arachne. Sicherheitsforscher zählen diese Gruppe zu den aktivsten Cyberbedrohungen der letzten Jahre, insbesondere aufgrund ihrer gezielten Angriffe auf Führungskräfte und Finanzpersonal in Unternehmen.

Silver Fox nutzt verschiedene Infektionsmethoden wie Messenger-Dienste, Phishing-E-Mails und Webseiten, die gefälschte Software verbreiten. Zu den Zielen der Gruppe gehören die Fernsteuerung von Systemen, der Diebstahl sensibler Daten und Finanzbetrug.

Die Evolution von Malware: Von Gh0st RAT zu AtlasCross

Das Auftreten von AtlasCross RAT stellt einen bedeutenden Fortschritt im Malware-Toolkit von Silver Fox dar. Frühere Operationen stützten sich hauptsächlich auf Varianten von Gh0st RAT, darunter ValleyRAT (auch bekannt als Winos 4.0), Gh0stCringe und HoldingHands RAT (Gh0stBins). AtlasCross stellt eine ausgefeiltere Weiterentwicklung dar und verfügt über verbesserte Mechanismen zur Tarnung, Ausführung und Persistenz.

Infektionskette im Detail: Von der Anlockung bis zur Hinrichtung

Die Angriffskette beginnt mit betrügerischen Websites, die Nutzer zum Herunterladen von ZIP-Archiven verleiten. Diese Archive enthalten Installationsprogramme, die sowohl eine legitime Köderanwendung als auch eine mit einem Trojaner infizierte Autodesk-Binärdatei installieren. Das schädliche Installationsprogramm startet einen Shellcode-Loader, der eine eingebettete Konfiguration entschlüsselt, die von Gh0st RAT stammt.

Dieser Prozess extrahiert Command-and-Control-Details (C2) und ruft eine zweite Payload-Stufe von der Domain „bifa668.com“ über TCP-Port 9899 ab. Im letzten Schritt wird AtlasCross RAT im Arbeitsspeicher ausgeführt, wodurch die Erkennung durch herkömmliche Sicherheitstools deutlich erschwert wird.

Bösartige Infrastruktur: Bewaffnete Domänen

Die Kampagne demonstriert einen koordinierten Infrastrukturaufbau. Die meisten schädlichen Domains wurden am 27. Oktober 2025 registriert, was auf eine gezielte Planung hindeutet. Bestätigte Domains, die zur Verbreitung von Schadsoftware verwendet wurden, sind:

app-zoom.com
eyy-eyy.com
kefubao-pc.com
quickq-quickq.com
signal-signal.com
telegrtam.com.cn
trezor-trezor.com
ultraviewer-cn.com
wwwtalk-app.com
www-surfshark.com
www-teams.com

Diese Domains ahmen legitime Dienste genau nach und verwenden oft subtile typografische Variationen oder regionale Kennzeichnungen, um keinen Verdacht zu erregen.

Vertrauensmissbrauch: Gestohlene Code-Signatur-Zertifikate

Alle identifizierten Schadsoftware-Installationsprogramme sind mit demselben gestohlenen Extended-Validation-Codesignaturzertifikat (EV) signiert, das an DUC FABULOUS CO., LTD, ein Unternehmen mit Sitz in Hanoi, Vietnam, ausgestellt wurde. Die Wiederverwendung dieses Zertifikats in mehreren voneinander unabhängigen Malware-Kampagnen deutet auf eine weite Verbreitung innerhalb der Cyberkriminalität hin. Diese Taktik erhöht die wahrgenommene Legitimität der Schadsoftware und hilft, Sicherheitsvorkehrungen zu umgehen.

Erweiterte Funktionen: Einblick in AtlasCross RAT

AtlasCross RAT bietet eine Reihe leistungsstarker Funktionen für Tarnung, Persistenz und Kontrolle. Es integriert das PowerShell-Framework, eine native C/C++ PowerShell-Ausführungs-Engine, die die .NET Common Language Runtime (CLR) direkt in den Malware-Prozess einbettet.

Vor der Ausführung von Befehlen deaktiviert die Malware wichtige Sicherheitsmechanismen wie AMSI, ETW, den eingeschränkten Sprachmodus und die ScriptBlock-Protokollierung. Die Kommunikation mit den Command-and-Control-Servern wird mittels ChaCha20 verschlüsselt, wobei für jedes Paket ein zufälliger Schlüssel durch hardwarebasierte Zufallszahlengenerierung erzeugt wird.

Zu den wichtigsten Funktionen gehören:

  • Gezielte DLL-Einschleusung in WeChat
  • Remote Desktop Protocol (RDP)-Sitzungsübernahme
  • Beendigung von Verbindungen auf TCP-Ebene durch chinesische Sicherheitstools wie 360 Safe, Huorong, Kingsoft und QQ PC Manager.
  • Dateisystemmanipulation und Shell-Befehlsausführung
  • Persistenz durch geplante Aufgabenerstellung

Operative Strategie: Täuschung im großen Stil

Silver Fox verfolgt eine vielschichtige Domainstrategie, um Glaubwürdigkeit zu wahren und Entdeckung zu vermeiden. Dazu gehören Typosquatting, Domain-Hijacking und DNS-Manipulation, oft kombiniert mit regionsspezifischen Namenskonventionen, um das Misstrauen der Nutzer zu mindern. Die Fähigkeit der Gruppe, legitime Dienste überzeugend nachzuahmen, ist entscheidend für den Erfolg ihrer Kampagne.

Ausweitung der Angriffsvektoren in ganz Asien

Seit mindestens Dezember 2025 hat die Gruppe ihre Aktivitäten auf mehrere Länder ausgeweitet, darunter Japan, Malaysia, die Philippinen, Thailand, Indonesien, Singapur und Indien. Die Angriffsmethoden haben sich im Laufe der Zeit weiterentwickelt und sind von Phishing-E-Mails mit schädlichen PDF-Anhängen hin zum Missbrauch legitimer, aber falsch konfigurierter Fernüberwachungs- und -verwaltungstools wie SyncFuture TSM übergegangen.

In nachfolgenden Kampagnen wurde außerdem ein Python-basierter Datendiebstahl-Code eingesetzt, der als WhatsApp-Anwendung getarnt war. Frühere Aktivitäten im Januar 2026 umfassten Steuer-bezogene Köder, die indische Nutzer mit der Blackmoon-Malware ins Visier nahmen.

Flexibles Arsenal: Adaptive Cybercrime-Operationen

Silver Fox zeichnet sich durch hohe operative Flexibilität aus, indem es verschiedene Malware-Familien und -Techniken kombiniert. Der Einsatz von ValleyRAT zusammen mit RMM-Tools und eigens entwickelten, Python-basierten Stealern ermöglicht die schnelle Anpassung von Infektionsketten. Diese Vielseitigkeit unterstützt sowohl groß angelegte opportunistische Kampagnen als auch gezieltere, strategische Angriffe.

Die Gruppe verfolgt ein zweigleisiges Modell, das großflächige Angriffe mit anspruchsvolleren Operationen für einen langfristigen Systemzugriff und eine tiefere Netzwerkinfiltration in Einklang bringt.

Spear-Phishing-Präzision: Gezielte Angriffe auf Unternehmen

Neben groß angelegten Kampagnen führt Silver Fox gezielte Spear-Phishing-Angriffe durch, die sich an bestimmte Branchen, insbesondere japanische Hersteller, richten. Diese Angriffe nutzen hochwirksame Köder im Zusammenhang mit Steuererklärungen, Gehaltsanpassungen, Stellenwechseln und Mitarbeiterbeteiligungsprogrammen.

Nach der Installation ermöglicht ValleyRAT Angreifern Folgendes:

  • Erhalten Sie die volle Fernkontrolle über infizierte Systeme
  • Sammeln Sie sensible und finanzielle Daten
  • Überwachen Sie die Benutzeraktivität in Echtzeit.
  • Aufrechterhaltung der Persistenz innerhalb des Netzwerks

Diese Zugriffsebene ermöglicht es Angreifern, Angriffe zu eskalieren, vertrauliche Informationen zu exfiltrieren und sich auf weitere Ausnutzungsphasen in kompromittierten Umgebungen vorzubereiten.

Im Trend

Am häufigsten gesehen

Wird geladen...