Silver Fox Perluas Kampanye Siber Asia dengan RAT AtlasCross dan Domain Palsu

Silver Fox memperluas kampanye siber aktif di Asia dengan menggunakan remote access trojan (RAT) terbaru bernama AtlasCross RAT yang menyebar melalui domain palsu (typosquatting) yang menyerupai merek perangkat lunak terpercaya.

Menurut laporan dari perusahaan keamanan siber Jerman, Hexastrike, kampanye ini menargetkan pengguna berbahasa China dengan memanfaatkan domain peniruan merek-merek populer seperti Surfshark VPN, Signal, Telegram, Zoom, Microsoft Teams, dan lainnya. Domain palsu ini berjumlah sebelas dan semuanya terdaftar secara bersamaan pada tanggal 27 Oktober 2025.

Detail Kampanye dan Teknik Penyebaran Malware

Silver Fox, yang juga dikenal dengan nama lain seperti SwimSnake, The Great Thief of Valley, UTG-Q-1000, dan Void Arachne, menggunakan domain palsu sebagai umpan untuk mengelabui korban agar mengunduh berkas ZIP berisi installer yang memuat trojanized Autodesk binary dan aplikasi asli sebagai umpan. Installer ini kemudian meluncurkan shellcode loader yang mendekripsi konfigurasi Gh0st RAT untuk mendapatkan informasi command-and-control (C2), lalu mengunduh payload tahap kedua yang akhirnya menjalankan AtlasCross RAT langsung di memori.

• Daftar domain palsu yang digunakan:
  • app-zoom.com (Zoom)
  • eyy-eyy.com (tidak diketahui)
  • kefubao-pc.com (KeFuBao, e-commerce)
  • quickq-quickq.com (QuickQ VPN)
  • signal-signal.com (Signal)
  • telegrtam.com.cn (Telegram)
  • trezor-trezor.com (Trezor dompet kripto)
  • ultraviewer-cn.com (UltraViewer)
  • wwtalk-app.com (WangWang)
  • www-surfshark.com (Surfshark VPN)
  • www-teams.com (Microsoft Teams)

Semua paket installer yang ditemukan menggunakan sertifikat penandatanganan kode Extended Validation yang dicuri, diterbitkan atas nama DUC FABULOUS CO., LTD, sebuah entitas terdaftar di Hanoi, Vietnam. Penyalahgunaan sertifikat ini menunjukkan pola yang mungkin umum dalam ekosistem kejahatan siber untuk memberikan kesan legitimasi pada malware agar lolos dari pemeriksaan keamanan.

Kemampuan Canggih AtlasCross RAT

Hexastrike menjelaskan bahwa AtlasCross menggunakan framework PowerChell, sebuah mesin eksekusi PowerShell berbasis native C/C++ yang memuat .NET CLR langsung dalam proses malware. Sebelum menjalankan perintah, malware ini secara aktif menonaktifkan berbagai fitur keamanan Windows seperti AMSI, ETW, Mode Bahasa Terbatas, dan pencatatan ScriptBlock.

Komunikasi C2 menggunakan enkripsi ChaCha20 dengan kunci acak yang dihasilkan oleh RNG perangkat keras, meningkatkan kerahasiaan dan menghindari deteksi. Selain itu, AtlasCross memiliki fitur sebagai berikut:

• Injeksi DLL terarah ke aplikasi WeChat
• Pengambilalihan sesi RDP
• Penghentian koneksi TCP dari produk keamanan China seperti 360 Safe, Huorong, Kingsoft, dan QQ PC Manager tanpa menggunakan teknik BYOVD
• Operasi file dan shell
• Pembuatan tugas terjadwal untuk memastikan persistensi

Menurut Hexastrike, tooling ini merupakan evolusi dari RAT yang digunakan Silver Fox sebelumnya seperti Gh0st RAT varian ValleyRAT dan Winos 4.0, dengan peningkatan kemampuan keamanan dan bypass yang signifikan.

Strategi Silver Fox dan Dampak Regional

Perusahaan keamanan China, Knownsec 404, mengklasifikasikan Silver Fox sebagai salah satu ancaman siber paling aktif dalam beberapa tahun terakhir. Mereka menargetkan staf manajerial dan keuangan di berbagai organisasi menggunakan WeChat, QQ, email phishing, dan situs palsu.

Strategi domain Silver Fox sangat mengandalkan peniruan domain resmi dengan label regional untuk mengurangi kecurigaan pengguna. Selain typosquatting, mereka juga menggunakan pembajakan domain dan manipulasi DNS untuk membangun citra legitimasi.

Kampanye ini telah menyasar negara-negara Asia seperti Jepang, Malaysia, Filipina, Thailand, Indonesia, Singapura, dan India sejak Desember 2025. Serangan sebelumnya menggunakan lampiran PDF berbahaya untuk menyerang organisasi di Taiwan, memanfaatkan alat manajemen jarak jauh SyncFuture TSM yang salah konfigurasi, serta stealer berbasis Python yang menyamar sebagai aplikasi WhatsApp.

Menurut laporan lain dari perusahaan Prancis, Sekoia, Silver Fox menggunakan model ganda dengan menjalankan kampanye luas yang oportunistik dan operasi canggih yang terus beradaptasi dengan cepat. Kampanye terbaru juga menunjukkan penggunaan alat RMM dan stealer Python yang lebih condong ke tindak kejahatan siber daripada operasi APT tradisional.

Analisis Redaksi

Menurut pandangan redaksi, perluasan kampanye Silver Fox dengan AtlasCross RAT dan domain palsu menandai peningkatan signifikan dalam kecanggihan serangan siber di kawasan Asia. Penggunaan sertifikat penandatanganan kode yang dicuri dan teknik canggih untuk menonaktifkan keamanan Windows menunjukkan bahwa kelompok ini tidak hanya mengejar keuntungan jangka pendek, tetapi berupaya membangun akses jangka panjang ke sistem target.

Fakta bahwa kampanye ini menyasar berbagai sektor mulai dari komunikasi, VPN, keuangan, hingga aplikasi e-commerce memperlihatkan bahwa ancaman ini luas dan berpotensi merusak ekosistem digital secara lebih luas. Pengguna dan organisasi di Asia harus meningkatkan kewaspadaan terhadap email phishing dan selalu memeriksa keaslian domain sebelum mengunduh aplikasi atau membuka tautan.

Kedepannya, penting untuk memantau apakah Silver Fox akan mengembangkan alat dan teknik baru yang semakin kompleks. Kolaborasi antara penyedia keamanan dan instansi pemerintah di Asia harus diperkuat untuk menanggulangi ancaman yang terus berkembang ini secara proaktif.

Untuk informasi lebih mendalam, kunjungi laporan lengkapnya di The Hacker News dan ikuti perkembangan di media keamanan siber terkemuka.