Silver Fox Abuses Stolen EV Certificates in AtlasCross RAT Malware Campaign
O grupo de ameaça persistente avançada de origem chinesa Silver Fox, também rastreado como Void Arachne e SwimSnake, está atacando ativamente usuários e profissionais de língua chinesa com uma campanha sofisticada de RAT AtlasCross. Pesquisadores de segurança descobriram que os atores de ameaças estão utilizando domínios typosquatted que imitam marcas de software confiáveis como Surfshark, Signal e Zoom, combinados com certificados de assinatura de código EV roubados para bypassar verificações de segurança automatizadas.
Infraestrutura e entrega do payload
Os atores de ameaças estabeleceram uma rede extensa de infraestrutura para hospedar páginas de aterrissagem polidas que imitam fornecedores de aplicativos legítimos. Quando as vítimas tentam baixar o software, recebem um arquivo ZIP contendo um instalador triplamente aninhado da Setup Factory. Para se disfarçar como software legítimo, os atacantes assinaram os payloads usando um certificado EV roubado emitido para uma entidade vietnamita, "DUC FABULOUS CO.,LTD", que permanece válido até maio de 2027.
Este wrapper externo libera um componente trojanizado da Autodesk, chamado Schools.exe, juntamente com aplicativos legítimos de isca como o UltraViewer, para acalmar a suspeita do usuário. Ao ser executado, o loader trojanizado resolve dinamicamente suas interfaces de programação de aplicativos (APIs) através de PEB walking e hash ROR13, efetivamente evadindo a análise estática.
AtlasCross RAT e o framework PowerChell
No centro desta operação está o AtlasCross RAT, equipado com uma engine de execução de PowerShell nativa C/C++ personalizada chamada PowerChell. Este framework hospeda diretamente o .NET Common Language Runtime (CLR) dentro do processo do malware, permitindo que ele execute scripts PowerShell sem nunca spawnar o powershell.exe.
O PowerChell sistematicamente neutraliza as defesas do host ao patchear a memória para desabilitar a Antimalware Scan Interface (AMSI), desabilitar o Event Tracing for Windows (ETW), bypassar o Constrained Language Mode (CLM) e suprimir completamente o ScriptBlock logging. O RAT mantém comunicação com sua infraestrutura C2 usando criptografia ChaCha20, aproveitando chaves aleatórias por pacote geradas por geradores de números aleatórios de hardware.
Evasão e persistência
Para garantir a longevidade operacional, o AtlasCross termina ativamente conexões TCP estabelecidas por produtos de segurança chinesas populares, incluindo 360 Total Security e Huorong. Esta metodologia de interrupção sutil impede que essas ferramentas recebam atualizações de assinatura baseadas em nuvem sem matar conspicuamente seus processos hospedeiros.
Além disso, o malware realiza injeção de DLL direcionada no WeChat (Wxfun.dll) para coleta de dados e utiliza um script acoplado que aproveita o tscon.exe para sequestrar sessões ativas de Remote Desktop Protocol (RDP). A transição do Silver Fox da terminação de processos baseada em driver para a interrupção de segurança em nível de rede mostra um ator de ameaça em rápida maturação.
Indicadores de Comprometimento (IOCs)
Equipes de defesa devem caçar os seguintes indicadores de infraestrutura e payload observados entre novembro de 2025 e março de 2026. O certificado EV roubado (2C1D12F8BBE0827400A8440AF74FFFA8DCC8097C) é válido até maio de 2027. O domínio C2 principal é bifa668.com, com IP 61.111.250[.]139 na porta 9899.
Outros IOCs incluem domínios typosquatted como www-surfshark[.]com e signal-signal[.]com, e o diretório de staging C:\Program Files (x86)\GitMndsetup\. A equipe de segurança deve monitorar processos não padrão carregando System.Management.Automation.dll e auditar a criação de tarefas agendadas sob o caminho \Microsoft\Windows\AppID\ para detectar execução PowerChell.
Recomendações para CISOs
As equipes de segurança devem proativamente monitorar para processos não padrão carregando System.Management.Automation.dll e auditar a criação de tarefas agendadas sob o caminho \Microsoft\Windows\AppID\ para detectar execução PowerChell dentro de seus ambientes. A verificação de certificados de assinatura de código e a monitoração de tráfego de rede para domínios suspeitos são essenciais.
Perguntas frequentes
O que é o PowerChell? É uma engine de execução de PowerShell nativa que roda dentro do processo do malware para evitar detecção. Qual o alvo principal? Usuários e profissionais de língua chinesa. Como detectar? Monitorando o carregamento de System.Management.Automation.dll e tarefas agendadas suspeitas.