Istraživači iz oblasti sajber bezbjednosti otkrili su sofisticiranu kampanju malvera koja iskorištava popularnost alata vještačke inteligencije za ciljanje korisnika koji govore kineski. Ova kampanja koristi lažne instalere koji se predstavljaju kao legitimni softver, uključujući popularni AI chatbot DeepSeek, kako bi na uređaje žrtava ubacili napredne perzistentne prijetnje. Ovakav vid aktivnosti predstavlja zabrinjavajući napredak u taktikama socijalnog inženjeringa, gdje akteri prijetnji koriste trendove u novim tehnologijama radi povećanja uspješnosti svojih napada.
Zlonamjerna operacija provodi se kroz višefazni proces infekcije, koji započinje pažljivo kreiranim fišing veb stranicama, imitirajući zvanične stranice za distribuciju softvera. Korisnici bivaju namamljeni da preuzmu ono što izgleda kao legitimni instalacioni programi za popularne kineske aplikacije poput WPS Office, Sogou i DeepSeek. Ovi lažni instalatori, uglavnom distribuirani u obliku MSI datoteka, sadrže sofisticirane terete dizajnirane za dugoročno kompromitovanje sistema, istovremeno održavajući prikrivenost pomoću naprednih tehnika izbjegavanja otkrivanja.
Analitičari iz kompanije Netskope identifikovali su ovu kampanju tokom rutinskih aktivnosti praćenja prijetnji, otkrivši da lažni instalatori dostavljaju dvije primarne maliciozne komponente: Sainbox RAT, varijantu zloglasne porodice Gh0stRAT, i modificiranu verziju open-source rootkit-a nazvanog Hidden. Na osnovu taktičkih obrazaca, analize infrastrukture i preferencija ciljanja, istraživači su sa umjerenom sigurnošću pripisali ove aktivnosti grupi Silver Fox, kolektivu aktera prijetnji iz Kine.
Tehnička sofisticiranost napada postaje očigledna pri ispitivanju mehanizma infekcije. Nakon izvršavanja, maliciozni MSI instalacioni program vrši dvostruku operaciju: istovremeno instalira legitimni softver kako bi izbjegao sumnju korisnika, a zatim ubacuje svoj zlonamjerni teret putem složene tehnike bočnog učitavanja (side-loading).
Srž ovog napada leži u DLL side-loadingu, tehnici koja zloupotrebljava proces učitavanja dinamičkih biblioteka u operativnom sistemu Windows radi izvršavanja zlonamjernog koda. Lažni instalacioni program postavlja tri ključne datoteke: legitimni izvršni fajl nazvan “Shine.exe”, maliciozni DLL koji se predstavlja kao “libcef.dll” (legitimna biblioteka Chromium Embedded Framework), te podatkovnu datoteku pod nazivom “1.txt” koja sadrži kodirani shellcode i konačni teret.
Lanac infekcije započinje kada se Shine.exe izvrši i automatski učita maliciozni libcef.dll putem mehanizma bočnog učitavanja u Windows sistemu. Izvoznička funkcija “cef_api_hash” unutar DLL-a služi kao ulazna tačka, odmah uspostavljajući perzistentnost upisivanjem putanje do Shine.exe u Windows registry ključ “Run” pod nazivom “Management”. Ovo osigurava da malver preživi ponovno pokretanje sistema i zadrži dugoročni pristup kompromitovanom sistemu. Nakon toga, maliciozni DLL čita sadržaj datoteke “1.txt”, koja sadrži 0xc04 bajtova shellcode baziranog na open-source alatu sRDI (Shellcode Reflective DLL Injection). Ovaj shellcode vrši refleksivno učitavanje DLL-a, ubrizgavajući Sainbox RAT direktno u memoriju bez dodirivanja diska, čime se izbjegavaju mnogi tradicionalni mehanizmi otkrivanja i uspostavlja sofisticirana komandno-kontrolna infrastruktura za perzistentno kompromitovanje sistema.
