كشفت تقارير أمنية حديثة عن حملة سيبرانية نشطة تستهدف المستخدمين الناطقين بالصينية، تقودها مجموعة القرصنة المعروفة باسم Silver Fox، والتي تعتمد على مواقع مزيفة تحاكي العلامات التجارية الموثوقة لنشر برمجية وصول عن بُعد جديدة غير موثقة سابقًا تحمل اسم AtlasCross RAT.
أسلوب الهجوم عبر النطاقات المزيفة
وفقًا لشركة Hexastrike الألمانية، فإن الحملة تستغل نطاقات مزيفة تحاكي تطبيقات وخدمات شهيرة مثل Surfshark VPN، Signal، Telegram، Zoom، وMicrosoft Teams. وقد تم تسجيل 11 نطاقًا مزيفًا في يوم واحد بتاريخ 27 أكتوبر 2025، ما يعكس التخطيط المنهجي وراء العملية. هذه المواقع الخبيثة توزع أرشيفات ZIP تحتوي على مثبتات مزورة لبرامج مثل Autodesk، تعمل كطُعم لتثبيت البرمجية الخبيثة.
آلية تشغيل AtlasCross RAT
المثبت المزيف يقوم بتشغيل محمل shellcode يفك تشفير إعدادات Gh0st RAT المدمجة لاستخراج تفاصيل خادم التحكم والسيطرة (C2)، ثم يجلب حمولة ثانية عبر بروتوكول TCP من موقع bifa668[.]com على المنفذ 9899. في النهاية، يتم تشغيل AtlasCross RAT في الذاكرة مباشرة دون كتابة ملفات واضحة على القرص، ما يصعّب عملية الكشف.
قدرات البرمجية الجديدة
تتميز AtlasCross RAT بقدرات متقدمة تشمل:
- حقن DLL في تطبيقات مثل WeChat.
- اختطاف جلسات RDP.
- تعطيل الاتصالات على مستوى TCP مع منتجات أمنية صينية مثل 360 Safe وHuorong وKingsoft.
- تنفيذ أوامر الملفات والصدفة (Shell).
- إنشاء مهام مجدولة لضمان البقاء.
كما يدمج RAT إطار عمل PowerChell، وهو محرك C/C++ لتشغيل PowerShell داخل العملية، مع تعطيل آليات الحماية مثل AMSI وETW وConstrained Language Mode، ما يمنحه قدرة على تجاوز أنظمة المراقبة. حركة المرور بين العميل والخادم مشفرة بخوارزمية ChaCha20 باستخدام مفاتيح عشوائية لكل حزمة.
خلفية المجموعة وتطور حملاتها
مجموعة Silver Fox، المعروفة أيضًا بأسماء مثل SwimSnake وVoid Arachne، تطورت من استخدام مشتقات Gh0st RAT مثل ValleyRAT وGh0stCringe إلى تطوير AtlasCross RAT الأكثر تعقيدًا. تقارير سابقة من شركات أمنية صينية مثل Knownsec 404 وصفتها بأنها من أكثر التهديدات نشاطًا في السنوات الأخيرة، تستهدف موظفي الإدارة والمالية عبر منصات مثل WeChat وQQ ورسائل التصيد.
الحملات الأخيرة توسعت لتشمل دولًا مثل اليابان وماليزيا والفلبين وتايلاند وإندونيسيا وسنغافورة والهند، مستخدمة أساليب متنوعة مثل ملفات PDF خبيثة، أدوات مراقبة عن بُعد صينية غير مهيأة بشكل صحيح، وحتى برمجيات سرقة مكتوبة بـ Python متنكرة كتطبيقات واتساب. كما لوحظت هجمات تصيد موجهة ضد شركات يابانية باستخدام طُعم يتعلق بالضرائب والرواتب وخطط ملكية الأسهم.
دلالات استراتيجية
تُظهر هذه الحملة أن Silver Fox تتبنى نموذجًا مزدوج المسار: حملات واسعة النطاق تستهدف المستخدمين بشكل عشوائي، إلى جانب عمليات أكثر تعقيدًا تستهدف مؤسسات محددة. هذا التنوع في الأدوات والأساليب يعكس قدرة المجموعة على التكيف السريع مع بيئات مختلفة، وتنفيذ عمليات استراتيجية طويلة الأمد بالتوازي مع حملات تهدف إلى الربح المالي المباشر.
