AtlasCross RAT

Una campaña de ciberataques a gran escala está atacando activamente a usuarios de habla china mediante dominios typosquatting que imitan marcas de software de confianza. Estos sitios web engañosos están diseñados para distribuir un troyano de acceso remoto (RAT) previamente desconocido, conocido como AtlasCross. La campaña se aprovecha de la confianza de los usuarios en aplicaciones de uso común, como clientes VPN, plataformas de mensajería cifrada, herramientas de videoconferencia, rastreadores de criptomonedas y software de comercio electrónico.

La infraestructura incluye once dominios maliciosos confirmados que suplantan la identidad de servicios conocidos como Surfshark VPN, Signal, Telegram, Zoom y Microsoft Teams. Esta suplantación estratégica aumenta la probabilidad de infecciones exitosas al explotar la familiaridad con la marca.

Perfil del actor de la amenaza: The Silver Fox Collective

La campaña se ha atribuido a un prolífico grupo de ciberdelincuentes chinos conocido como Silver Fox. Este grupo opera bajo múltiples alias, entre ellos SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 y Void Arachne. Los investigadores de seguridad consideran a este grupo una de las amenazas cibernéticas más activas de los últimos años, especialmente debido a su constante ataque contra personal directivo y financiero dentro de las organizaciones.

Silver Fox utiliza diversos vectores de infección, como plataformas de mensajería, correos electrónicos de phishing y sitios de distribución de software falsificado. Entre los objetivos del grupo se incluyen el control remoto de sistemas, la filtración de datos confidenciales y el fraude financiero.

Evolución del malware: De Gh0st RAT a AtlasCross

La aparición de AtlasCross RAT supone un avance significativo en el arsenal de malware de Silver Fox. Las operaciones anteriores dependían en gran medida de variantes derivadas de Gh0st RAT, como ValleyRAT (también conocido como Winos 4.0), Gh0stCringe y HoldingHands RAT (Gh0stBins). AtlasCross representa una evolución más sofisticada, que incorpora mecanismos mejorados de sigilo, ejecución y persistencia.

Desglose de la cadena de infección: Del señuelo a la ejecución

La cadena de ataque comienza con sitios web fraudulentos que engañan a los usuarios para que descarguen archivos ZIP. Estos archivos contienen instaladores que despliegan tanto una aplicación señuelo legítima como un binario de Autodesk infectado con un troyano. El instalador malicioso inicia un cargador de shellcode que descifra una configuración integrada derivada del troyano Gh0st.

Este proceso extrae detalles de comando y control (C2) y recupera una carga útil de segunda etapa del dominio 'bifa668.com' a través del puerto TCP 9899. La etapa final da como resultado la ejecución en memoria de AtlasCross RAT, lo que reduce significativamente la detección por parte de las herramientas de seguridad tradicionales.

Infraestructura maliciosa: dominios convertidos en armas

La campaña demuestra una infraestructura coordinada, con la mayoría de los dominios maliciosos registrados el 27 de octubre de 2025, lo que indica una planificación deliberada. Los dominios confirmados utilizados para la distribución de malware incluyen:

app-zoom.com
eyy-eyy.com
kefubao-pc.com
quickq-quickq.com
signal-signal.com
telegrama.com.cn
trezor-trezor.com
ultraviewer-cn.com
wwtalk-app.com
www-surfshark.com
www-teams.com

Estos dominios imitan fielmente a los servicios legítimos, incorporando a menudo sutiles variaciones tipográficas o identificadores regionales para evitar sospechas.

Abuso de confianza: Robo de certificados de firma de código

Todos los instaladores maliciosos identificados están firmados con el mismo certificado de firma de código de validación extendida (EV) robado, emitido a nombre de DUC FABULOUS CO., LTD, una empresa con sede en Hanói, Vietnam. La reutilización de este certificado en múltiples campañas de malware no relacionadas entre sí sugiere una amplia circulación dentro del ecosistema ciberdelictivo. Esta táctica refuerza la percepción de legitimidad de los binarios maliciosos y facilita eludir las defensas de seguridad.

Capacidades avanzadas: Información interna sobre AtlasCross RAT

AtlasCross RAT introduce un potente conjunto de capacidades diseñadas para el sigilo, la persistencia y el control. Integra el marco PowerShell, un motor de ejecución nativo de PowerShell en C/C++ que incorpora el Common Language Runtime (CLR) de .NET directamente en el proceso del malware.

Antes de ejecutar comandos, el malware desactiva mecanismos de seguridad clave como AMSI, ETW, el Modo de Lenguaje Restringido y el registro de ScriptBlock. La comunicación con los servidores de comando y control se cifra mediante ChaCha20 con claves aleatorias por paquete generadas mediante generación de números aleatorios basada en hardware.

Las funcionalidades clave incluyen:

• Inyección dirigida de DLL en WeChat
• Secuestro de sesión del Protocolo de Escritorio Remoto (RDP)
• Terminación de conexiones a nivel TCP desde herramientas de seguridad chinas como 360 Safe, Huorong, Kingsoft y QQ PC Manager.
• Manipulación del sistema de archivos y ejecución de comandos de shell
• Persistencia mediante la creación de tareas programadas

Estrategia operativa: El engaño a gran escala

Silver Fox emplea una estrategia de dominios multicapa para mantener la credibilidad y evitar ser detectado. Esto incluye el typosquatting, el secuestro de dominios y la manipulación del DNS, a menudo combinados con convenciones de nombres específicas de cada región para reducir la sospecha de los usuarios. La capacidad del grupo para replicar de forma convincente servicios legítimos es fundamental para la eficacia de la campaña.

Expansión de los vectores de ataque en Asia

Desde al menos diciembre de 2025, el grupo ha expandido sus operaciones a varios países, entre ellos Japón, Malasia, Filipinas, Tailandia, Indonesia, Singapur e India. Los métodos de ataque han evolucionado con el tiempo, pasando de correos electrónicos de phishing con archivos PDF adjuntos maliciosos al abuso de herramientas legítimas de monitorización y gestión remota, como SyncFuture TSM, que están mal configuradas.

Las campañas posteriores también han desplegado un programa espía basado en Python, disfrazado de aplicación de WhatsApp. En enero de 2026, se llevaron a cabo actividades previas que, mediante engaños relacionados con impuestos, se dirigieron a usuarios indios con el malware Blackmoon.

Arsenal flexible: Operaciones adaptativas contra el cibercrimen

Silver Fox demuestra una gran flexibilidad operativa al combinar diversas familias de malware y técnicas. El uso de ValleyRAT junto con herramientas RMM y programas de robo personalizados basados en Python permite una rápida adaptación de las cadenas de infección. Esta versatilidad respalda tanto campañas oportunistas a gran escala como ataques estratégicos más específicos.

El grupo opera con un modelo de doble vía, equilibrando los ataques generalizados con operaciones más sofisticadas diseñadas para el acceso a largo plazo a los sistemas y una infiltración más profunda en la red.

Precisión en el spear-phishing: Dirigiendo el ataque a víctimas corporativas

Además de campañas masivas, Silver Fox lleva a cabo ataques de spear-phishing dirigidos a sectores específicos, en particular a fabricantes japoneses. Estos ataques utilizan señuelos muy convincentes relacionados con el cumplimiento tributario, ajustes salariales, cambios de empleo y planes de participación accionaria para empleados.

Una vez desplegado, ValleyRAT permite a los atacantes:

• Obtenga el control remoto total de los sistemas infectados.
• Recopilación de datos sensibles y financieros
• Supervise la actividad del usuario en tiempo real.
• Mantener la persistencia dentro de la red.

Este nivel de acceso permite a los ciberdelincuentes intensificar los ataques, extraer información confidencial y prepararse para fases posteriores de explotación dentro de entornos comprometidos.