Skip to main content
HashnodeFPT IS SecurityFPT IS Security

Command Palette

Search for a command to run...

Silver Fox — Mở Rộng Chiến Dịch Tấn Công Châu Á với AtlasCross RAT và Hạ Tầng Giả Mạo

Published
11 min read
Silver Fox — Mở Rộng Chiến Dịch Tấn Công Châu Á với AtlasCross RAT và Hạ Tầng Giả Mạo
Đ
Đinh Văn Mạnh
Part of seriesNewsletters

Tổng Quan

Nhóm đe dọa Silver Fox — một tác nhân tấn công mạng nói tiếng Trung — đang đẩy mạnh các chiến dịch tấn công có chủ đích nhắm vào người dùng và tổ chức tại khu vực châu Á – Thái Bình Dương. Theo báo cáo của Hexastrike (Đức) công bố cuối tháng 3/2026, chiến dịch mới nhất triển khai một trojan truy cập từ xa chưa từng được ghi nhận trước đây mang tên AtlasCross RAT, phân phối qua 11 tên miền giả mạo được đăng ký cùng một ngày — 27/10/2025. Song song đó, Sekoia (Pháp) xác nhận nhóm này đang duy trì mô hình "hai mũi tên": vừa thực hiện các chiến dịch gián điệp kiểu APT, vừa tiếp tục các hoạt động tội phạm mạng vì lợi nhuận trải dài khắp Nam Á và Đông Nam Á.

Hồ Sơ Tác Nhân

Silver Fox là một nhóm tội phạm mạng/APT có nguồn gốc từ Trung Quốc, hoạt động ít nhất từ năm 2022. Nhóm được theo dõi dưới nhiều tên gọi khác nhau:

Alias Nguồn theo dõi
Silver Fox Hexastrike, Sekoia
Void Arachne Trend Micro
UTG-Q-1000 Các nhà nghiên cứu Trung Quốc
The Great Thief of Valley / Valley Thief Knownsec 404

Theo Knownsec 404, Silver Fox được xếp vào danh sách "mối đe dọa mạng hoạt động tích cực nhất" trong những năm gần đây, chủ yếu nhắm vào nhân sự quản lý cấp cao và bộ phận tài chính tại các doanh nghiệp. Kể từ năm 2024, nhóm bắt đầu chuyển dịch sang các chiến dịch mang tính chất gián điệp có tổ chức bên cạnh mục tiêu tài chính truyền thống.

Diễn Biến Chiến Dịch (2025–2026): Ba Làn Sóng Tấn Công

Làn sóng 1 — Nhắm vào Đài Loan (Đầu 2025)

Từ ít nhất tháng 1/2025, Silver Fox triển khai chiến dịch phishing giả mạo cơ quan thuế quốc gia Đài Loan, lợi dụng đúng thời điểm công bố danh sách doanh nghiệp bị kiểm tra thuế. Email lừa đảo đính kèm file PDF chứa mã độc; khi nạn nhân nhấp vào nội dung trong file, chuỗi lây nhiễm kích hoạt và triển khai ValleyRAT thông qua DLL side-loading.

Chuỗi lây nhiễm cụ thể:

  1. Email phishing → đính kèm PDF giả mạo Bộ Tài chính Đài Loan

  2. PDF chứa vùng nhấp ẩn (/Annot) dẫn đến tải ZIP từ hạ tầng myqcloud

  3. ZIP chứa python311.dll (shellcode loader) + 查看10.exe

  4. Thực thi ValleyRAT, cấu hình tải từ C:\users\public\download\bb.jpg

  5. Kết nối C2: 9010.360sdgg[.]com

Đến tháng 4/2025, Fortinet xác nhận chiến dịch mở rộng sang Nhật Bản.

Làn sóng 2 — Lạm dụng RMM Tool (Cuối 2025)

Từ giữa tháng 12/2025, Silver Fox chuyển sang phân phối công cụ SyncFuture TSM — một phần mềm quản trị từ xa (RMM) hợp pháp của Trung Quốc nhưng bị cấu hình sai. Kẻ tấn công khai thác lỗ hổng xử lý cấu hình để nhúng địa chỉ C2 trực tiếp vào tên file ([ipv4]ClientSetup.exe), do đó không làm thay đổi chữ ký số của file. Chiến dịch này mở rộng sang Malaysia, Philippines, Thái Lan, Indonesia, Singapore và Ấn Độ.

Làn sóng 3 — Python Stealer giả mạo WhatsApp (Đầu 2026)

Tháng 2/2026, Silver Fox thay thế RMM tool bằng một Python stealer tùy chỉnh được ngụy trang dưới dạng ứng dụng WhatsApp, nhắm chủ yếu vào Malaysia. Công cụ này thu thập thông tin đăng nhập, tài liệu nhạy cảm và tải lên C2 tại xqwmwru[.]top, để lại các artifact đặc trưng:

  • C:\WhatsAppBackup\WhatsAppData.zip

  • %TEMP%\whatsapp_backup.lock

  • User-Agent giả mạo: WhatsAppBackup/1.0

Vũ Khí Mới Nhất: AtlasCross RAT

AtlasCross RAT là bước tiến hóa mới nhất trong kho vũ khí của Silver Fox, được phát hiện bởi Hexastrike vào tháng 3/2026. Đây là biến thể tinh vi hơn, xây dựng trên nền tảng giao thức Gh0st RAT (cùng dòng với ValleyRAT và Winos 4.0).

Chuỗi lây nhiễm AtlasCross RAT

  1. Nạn nhân truy cập website giả mạo → tải file ZIP

  2. ZIP chứa installer AutoDesk bị trojan hóa + ứng dụng hợp pháp giả mồi

  3. AutoDesk trojanized khởi chạy shellcode loader → giải mã cấu hình Gh0st RAT nhúng sẵn

  4. Tải second-stage shellcode từ bifa668[.]com qua TCP port 9899

  5. Thực thi AtlasCross RAT trực tiếp trong bộ nhớ (in-memory execution)

Năng lực kỹ thuật của AtlasCross RAT

Tính năng Mô tả
PowerChell Framework Engine thực thi PowerShell native C/C++, host .NET CLR trong tiến trình malware
Vô hiệu hóa bảo mật Tắt AMSI, ETW, Constrained Language Mode và ScriptBlock Logging
Mã hóa C2 ChaCha20 với khóa ngẫu nhiên mỗi gói tin, sinh bằng hardware RNG
DLL Injection Chèn vào tiến trình WeChat
RDP Hijacking Chiếm quyền phiên RDP đang hoạt động
Chặn AV/EDR Chủ động ngắt kết nối TCP từ 360 Safe, Huorong, Kingsoft, QQ PC Manager
Persistence Tạo Scheduled Task
File & Shell Ops Quản lý file, thực thi lệnh shell từ xa

Đặc biệt, thay vì dùng kỹ thuật BYOVD (Bring Your Own Vulnerable Driver) phổ biến, AtlasCross RAT chọn cách ngắt kết nối TCP trực tiếp với các phần mềm bảo mật của Trung Quốc — một phương pháp né tránh phát hiện tinh tế hơn.

Hạ Tầng Phân Phối: 11 Tên Miền Typosquat

Toàn bộ 11 tên miền phân phối AtlasCross RAT được đăng ký cùng ngày 27/10/2025, chỉ ra mức độ chuẩn bị có chủ đích cao. Các thương hiệu bị giả mạo bao gồm các ứng dụng phổ biến trong cộng đồng nói tiếng Trung:

Tên miền giả mạo Thương hiệu mục tiêu
app-zoom.com Zoom
signal-signal.com Signal
telegrtam.com.cn Telegram
www-surfshark.com Surfshark VPN
www-teams.com Microsoft Teams
trezor-trezor.com Trezor (ví crypto)
ultraviewer-cn.com UltraViewer
quickq-quickq.com QuickQ VPN
kefubao-pc.com KeFuBao (e-commerce)
wwtalk-app.com WangWang
eyy-eyy.com Không rõ

Đáng chú ý, toàn bộ các gói installer đều mang chữ ký Extended Validation (EV) Code-Signing Certificate bị đánh cắp từ công ty DUC FABULOUS CO., LTD — một doanh nghiệp Việt Nam đăng ký tại Hà Nội. Chứng chỉ này cũng xuất hiện trong các chiến dịch malware không liên quan khác, cho thấy nó đang được chia sẻ rộng rãi trong hệ sinh thái tội phạm mạng nhằm qua mặt cơ chế kiểm tra chữ ký số.

Mục Tiêu & Phạm Vi Địa Lý

Silver Fox tấn công có chọn lọc theo ngành và vai trò, đặc biệt là:

  • Cán bộ tài chính, kế toán, tuân thủ (compliance) trong doanh nghiệp

  • Nhà quản lý cấp trung và cao tại các tổ chức Đông Nam Á

  • Nhà sản xuất Nhật Bản qua chiến dịch spear-phishing về thuế và lương

Các quốc gia bị nhắm mục tiêu từ tháng 12/2025 đến nay bao gồm: Nhật Bản, Malaysia, Philippines, Thái Lan, Indonesia, Singapore, Ấn Độ và Đài Loan. Ấn Độ bị tấn công qua lure về thuế thu nhập kèm malware Blackmoon, được eSentire ghi nhận vào tháng 1/2026.

TTPs Theo Framework MITRE ATT&CK

Tactic Technique Mô tả
Initial Access T1566.002 – Spearphishing Link Email giả mạo cơ quan thuế
Initial Access T1566.001 – Spearphishing Attachment PDF độc hại đính kèm
Resource Development T1583.001 – Typosquatting 11 domain giả mạo phần mềm phổ biến
Execution T1059.001 – PowerShell PowerChell framework trong AtlasCross RAT
Defense Evasion T1562.001 – Disable Security Tools Tắt AMSI, ETW, ngắt kết nối AV Trung Quốc
Defense Evasion T1553.002 – Code Signing Sử dụng chứng chỉ EV đánh cắp
Persistence T1053.005 – Scheduled Task Tạo Scheduled Task tự khởi động
C2 T1573 – Encrypted Channel ChaCha20 per-packet encryption
Collection T1056.001 – Keylogging ValleyRAT keystroke logging
Lateral Movement T1563.002 – RDP Hijacking AtlasCross RAT chiếm phiên RDP

Indicators of Compromise (IoCs)

Tên miền phân phối AtlasCross RAT

app-zoom[.]com | signal-signal[.]com | telegrtam[.]com.cn
www-surfshark[.]com | www-teams[.]com | trezor-trezor[.]com
ultraviewer-cn[.]com | quickq-quickq[.]com | kefubao-pc[.]com
wwtalk-app[.]com | eyy-eyy[.]com

C2 Server

bifa668[.]com (TCP:9899) — AtlasCross RAT stage 2
xqwmwru[.]top — Python stealer exfiltration
9010.360sdgg[.]com — ValleyRAT C2

Python Stealer (Wave 3)

https://xqwmwru[.]top/upload_large.php
https://xqwmwru[.]top/upload_status.php
https://xqwmwru[.]top/admin/login.php

Phishing domains (Silver Fox campaign – Sekoia)

googlevip[.]icu | oytdwzz[.]shop | gov[.]incometax[.]click
megamovielord[.]com | primetechstocks[.]com | domainCt[.]com

(Danh sách đầy đủ 40+ domain tại Sekoia IoC Annex)

Đánh Giá Chiến Lược

Silver Fox đang thực hiện mô hình "dual-track" — vừa APT vừa tội phạm mạng — một xu hướng ngày càng phổ biến trong hệ sinh thái tấn công mạng Trung Quốc. Sekoia nhận định đây có thể là mô hình "moonlighting": một nhóm tội phạm mạng bán quyền truy cập cho các cơ quan nhà nước hoặc được thuê ngoài bởi một tác nhân nhà nước để thực hiện các giai đoạn xâm nhập ban đầu.

Việc Silver Fox tiếp tục dùng ValleyRAT ngay cả sau khi builder bị rò rỉ năm 2023 và liên tục phát triển plugin kernel-mode rootkit cho thấy nhóm này có nguồn lực kỹ thuật đáng kể, không bị gián đoạn bởi việc lộ mã nguồn. Sự xuất hiện của AtlasCross RAT với PowerChell framework và ChaCha20 encryption là bằng chứng rõ ràng về khả năng nâng cấp vũ khí liên tục.

Khuyến Nghị Phòng Thủ

Dành cho SOC / Blue Team:

  • Giám sát các kết nối đến domain có cấu trúc [brand]-[brand].com hoặc www-[brand].com

  • Triển khai sandbox phân tích PDF và file nén (ZIP/RAR) trước khi mở

  • Cảnh báo với các EV code-signing certificate không quen thuộc, đặc biệt từ các thực thể ít tên tuổi

  • Săn tìm tiến trình PowerShell được gọi từ tiến trình không hợp lệ (AMSI disabled)

Dành cho quản trị viên hệ thống:

  • Chặn các kết nối TCP đến bifa668[.]comxqwmwru[.]top

  • Kiểm tra Scheduled Tasks bất thường trên các máy Windows trong tổ chức

  • Hạn chế việc sử dụng RMM tools từ các nhà cung cấp không được phê duyệt (đặc biệt SyncFuture TSM)

  • Cấu hình WDAC (Windows Defender Application Control) để ngăn DLL injection vào WeChat

Dành cho người dùng:

  • Luôn tải phần mềm từ website chính thức — kiểm tra kỹ tên miền trước khi tải

  • Nghi ngờ các email về kiểm tra thuế, điều chỉnh lương, quyền chọn cổ phiếu có đính kèm file hoặc link

  • Báo cáo ngay bộ phận IT khi nhận email yêu cầu "chuyển cho nhân viên tài chính"

Kết Luận

Silver Fox là một trong những nhóm đe dọa năng động và linh hoạt nhất trong khu vực châu Á hiện nay. Với việc liên tục cập nhật vũ khí (ValleyRAT → HoldingHands → RMM abuse → Python stealer → AtlasCross RAT), đa dạng hóa vector tấn công và mở rộng địa bàn từ Trung Quốc/Đài Loan sang toàn bộ Đông Nam Á, nhóm này đặt ra rủi ro nghiêm trọng cho các tổ chức trong khu vực — đặc biệt là các doanh nghiệp tài chính, sản xuất và các đơn vị đang sử dụng các ứng dụng liên lạc phổ biến. Việc theo dõi liên tục nhóm này và cập nhật IoC là yêu cầu bắt buộc với bất kỳ chương trình Threat Intelligence nào tại khu vực APAC.

Tham Khảo

  1. Silver Fox Expands Asia Cyber Campaign with AtlasCross RAT and Fake Domains

  2. Silver Fox’s Dual-Pronged Strategy: Dissecting the ValleyRAT Distribution Campaign

  3. Silver Fox: The Only Tax Audit Where the Fine Print Installs Malware

  4. Silver Fox Cyber Campaigns Show Shift Toward Dual Espionage

  5. A cunning predator: How Silver Fox preys on Japanese firms this tax season

#threat-intelligence#silver-fox#campaign#atlascross-rat#fake-domains

Newsletters

Part 5 of 50
Up next

Bạn chính là “lỗ hổng bảo mật”: ClickFix đang khiến người dùng tự cài malware

Tổng quan Trong bối cảnh các cuộc tấn công mạng ngày càng tinh vi, một xu hướng đáng lo ngại đang dần nổi lên: kẻ tấn công không còn cần khai thác lỗ hổng hệ thống -họ khai thác chính người dùng. Chiế

More from this blog

F

FPT IS Security

718 posts

Dedicated to providing insightful articles on cybersecurity threat intelligence, aimed at empowering individuals and organizations to navigate the digital landscape safely.