AtlasCross RAT
大規模なサイバー攻撃キャンペーンが、信頼できるソフトウェアブランドを模倣したタイポスクワッティングドメインを通じて、中国語圏のユーザーを積極的に標的にしている。これらの偽サイトは、これまで未確認だったリモートアクセス型トロイの木馬「AtlasCross RAT」を拡散することを目的としている。このキャンペーンは、VPNクライアント、暗号化メッセージングプラットフォーム、ビデオ会議ツール、仮想通貨トラッカー、電子商取引ソフトウェアなど、広く利用されているアプリケーションに対するユーザーの信頼を悪用している。
このインフラストラクチャには、Surfshark VPN、Signal、Telegram、Zoom、Microsoft Teamsといった有名サービスになりすました、確認済みの悪意のあるドメインが11個含まれています。このような戦略的ななりすましは、ブランドの認知度を悪用することで、感染の成功率を高めます。
目次
脅威アクターのプロフィール:シルバーフォックス・コレクティブ
この攻撃は、Silver Foxとして知られる中国のサイバー犯罪グループによるものとされている。このグループは、SwimSnake、The Great Thief of Valley(Valley Thief)、UTG-Q-1000、Void Arachneなど、複数の別名で活動している。セキュリティ研究者らは、特に組織内の管理職や財務担当者を執拗に標的にしていることから、このグループを近年最も活発なサイバー脅威の一つとみなしている。
Silver Foxは、メッセージングプラットフォーム、フィッシングメール、偽造ソフトウェア配布サイトなど、多様な感染経路を利用している。同グループの目的は、リモートシステム制御、機密データの漏洩、および金融詐欺である。
マルウェアの進化:Gh0st RATからAtlasCrossまで
AtlasCross RATの出現は、Silver Foxのマルウェアツールキットにおける大きな進歩を示すものです。以前の作戦では、ValleyRAT(Winos 4.0としても知られる)、Gh0stCringe、HoldingHands RAT(Gh0stBins)など、Gh0st RATから派生した亜種に大きく依存していました。AtlasCrossは、より高度な進化を遂げ、ステルス性、実行機能、および永続化メカニズムを強化しています。
感染経路の解明:誘い込みから処刑まで
攻撃は、ユーザーを騙してZIPアーカイブをダウンロードさせる不正なウェブサイトから始まります。これらのアーカイブには、正規の偽装アプリケーションとトロイの木馬化されたAutodeskバイナリの両方をデプロイするインストーラーが含まれています。悪意のあるインストーラーは、Gh0st RATから派生した埋め込み設定を復号するシェルコードローダーを起動します。
このプロセスでは、コマンド&コントロール(C2)の詳細を抽出し、TCPポート9899経由でドメイン「bifa668.com」から第2段階のペイロードを取得します。最終段階では、AtlasCross RATがメモリ上で実行され、従来のセキュリティツールによる検出リスクが大幅に低減されます。
悪意のあるインフラストラクチャ:武器化されたドメイン
このキャンペーンは、組織的なインフラ構築を示しており、悪意のあるドメインのほとんどが2025年10月27日に登録されていることから、計画的な犯行であることが示唆される。マルウェア配信に使用されたことが確認されているドメインは以下のとおり。
app-zoom.com
eyy-eyy.com
kefubao-pc.com
quickq-quickq.com
signal-signal.com
telegrtam.com.cn
trezor-trezor.com
ultraviewer-cn.com
wwtalk-app.com
www-surfshark.com
www-teams.com
これらのドメインは正規のサービスを巧妙に模倣しており、疑念を避けるために微妙なフォントの違いや地域的な識別子を組み込んでいることが多い。
信頼の悪用:盗まれたコード署名証明書
特定されたすべての悪意のあるインストーラーは、ベトナムのハノイに拠点を置くDUC FABULOUS CO., LTDに発行された、盗まれた拡張検証(EV)コード署名証明書を使用して署名されています。この証明書が複数の無関係なマルウェアキャンペーンで再利用されていることは、サイバー犯罪エコシステム内で広く流通していることを示唆しています。この手法は、悪意のあるバイナリの正当性を高め、セキュリティ対策を回避するのに役立ちます。
高度な機能:AtlasCross RATの内部
AtlasCross RATは、ステルス性、永続性、および制御性を重視した強力な機能セットを備えています。ネイティブC/C++ PowerShell実行エンジンであるPowerChellフレームワークを統合し、.NET共通言語ランタイム(CLR)をマルウェアプロセスに直接組み込みます。
マルウェアはコマンドを実行する前に、AMSI、ETW、制約付き言語モード、ScriptBlockログ記録などの主要なセキュリティメカニズムを無効化します。コマンド&コントロールサーバーとの通信は、ハードウェアベースの乱数生成によって生成されたパケットごとのランダムキーを使用したChaCha20で暗号化されます。
主な機能は以下のとおりです。
- WeChatへの標的型DLL注入
- リモートデスクトッププロトコル(RDP)セッションのハイジャック
- 360 Safe、Huorong、Kingsoft、QQ PC Managerなどの中国製セキュリティツールからの接続をTCPレベルで終端する
- ファイルシステムの操作とシェルコマンドの実行
- スケジュールされたタスク作成による継続性
作戦戦略:大規模な欺瞞
Silver Foxは、信頼性を維持し、検出を回避するために、多層的なドメイン戦略を採用している。これには、タイポスクワッティング、ドメインハイジャック、DNS操作などが含まれ、ユーザーの疑念を軽減するために地域固有の命名規則と組み合わせられることが多い。このグループが正規のサービスを巧みに模倣する能力は、キャンペーンの効果に決定的な役割を果たしている。
アジア全域に拡大する攻撃ベクトル
少なくとも2025年12月以降、このグループは日本、マレーシア、フィリピン、タイ、インドネシア、シンガポール、インドなど複数の国に活動範囲を拡大している。攻撃手法は時間とともに進化し、悪意のあるPDFファイルを添付したフィッシングメールから、SyncFuture TSMなどの正規のリモート監視・管理ツールを誤用する手法へと移行している。
その後のキャンペーンでは、WhatsAppアプリを装ったPythonベースの情報窃盗マルウェアも展開された。2026年1月には、税金に関する誘い文句でインドのユーザーを標的にし、Blackmoonマルウェアを使用した初期の活動も行われた。
柔軟な武器庫:適応型サイバー犯罪作戦
Silver Foxは、複数のマルウェアファミリーと手法を組み合わせることで、高度な運用柔軟性を実現しています。ValleyRATをRMMツールやカスタムPythonベースのデータ窃盗ツールと併用することで、感染経路を迅速に調整できます。この汎用性により、大規模な機会主義的攻撃と、より標的を絞った戦略的な攻撃の両方に対応可能です。
このグループは、広範囲にわたる攻撃と、長期的なシステムアクセスやより深いネットワーク侵入を目的とした高度な作戦をバランスよく組み合わせる、二本柱のモデルを採用している。
スピアフィッシングの精度:企業を標的とする
Silver Foxは、大規模なキャンペーンに加え、特定の業界、特に日本の製造業を標的としたスピアフィッシング攻撃も行っています。これらの攻撃では、税務コンプライアンス、給与調整、転職、従業員持株制度などに関連した、非常に巧妙な誘い文句が用いられます。
ValleyRATが展開されると、攻撃者は以下のことが可能になります。
- 感染したシステムを完全にリモート制御する
- 機密情報および財務データを収集する
- ユーザーのアクティビティをリアルタイムで監視します
- ネットワーク内で永続性を維持する
このレベルのアクセス権限により、攻撃者は攻撃をエスカレートさせ、機密情報を外部に持ち出し、侵害された環境内でさらなる悪用段階への準備を進めることが可能になります。
