Istraživači iz oblasti sajber sigurnosti otkrili su sofisticiranu kampanju malicioznog softvera koja iskorištava popularnost alata vještačke inteligencije kako bi ciljala korisnike koji govore kineski jezik. U ovoj kampanji se koriste lažni instalatori koji se predstavljaju kao legitimni preuzimanja softvera, uključujući popularni AI chatbot DeepSeek, kako bi se na ciljane sisteme instalirale napredne perzistentne prijetnje. Ovakav vid napada predstavlja zabrinjavajuću evoluciju u taktikama socijalnog inženjeringa, gdje napadači koriste najnovije tehnološke trendove kako bi povećali uspješnost svojih napada.
Maliciozna operacija primjenjuje višefazni proces zaraze koji započinje pažljivo kreiranim phishing web stranicama koje imitiraju zvanične stranice za distribuciju softvera. Žrtve se navode na preuzimanje onoga što se čini kao legitimni instalatori za popularne kineske aplikacije poput WPS Office, Sogou i DeepSeek. Ovi lažni instalatori, uglavnom distribuirani kao MSI datoteke, sadrže sofisticirane terete (payloads) dizajnirane da uspostave dugoročnu kompromitaciju sistema, zadržavajući pri tome prikrivenost kroz napredne tehnike izbjegavanja detekcije.
Analitičari kompanije Netskope identifikovali su ovu kampanju tokom redovnih aktivnosti lova na prijetnje. Otkrili su da lažni instalatori dostavljaju dvije glavne maliciozne komponente: Sainbox RAT, varijantu ozloglašene porodice Gh0stRAT, te modifikovanu verziju open-source rootkit-a pod nazivom Hidden. Stručnjaci su sa srednjom sigurnošću ove aktivnosti pripisali grupi Silver Fox, grupi neprijateljskih hakera iz Kine, na osnovu taktičkih obrazaca, analize infrastrukture i preferenci meta. Tehnička sofisticiranost napada postaje očigledna prilikom pregleda mehanizma zaraze. Nakon izvršenja, maliciozni MSI instalator provodi dvostruku operaciju, istovremeno instalirajući legitimni softver kako bi izbjegao sumnju korisnika, dok istovremeno kroz kompleksnu tehniku side-loadinga postavlja svoj maliciozni teret.
Srž ovog napada oslanja se na DLL side-loading, tehniku koja iskorištava proces učitavanja dinamičkih biblioteka u Windowsu kako bi izvršila maliciozni kod. Lažni instalator ispušta tri ključna fajla: legitimni izvršni fajl pod nazivom “Shine.exe”, malicioznu DLL datoteku koja se predstavlja kao “libcef.dll” (legitimna biblioteka Chromium Embedded Framework) i podatkovnu datoteku nazvanu “1.txt” koja sadrži kodirani shellcode i konačni teret. Lanac zaraze počinje kada se Shine.exe izvrši i automatski učita malicioznu libcef.dll putem Windows mehanizma side-loadinga. Izvezena funkcija DLL-a, “cef_api_hash”, služi kao ulazna tačka, odmah uspostavljajući perzistentnost upisivanjem putanje do Shine.exe u Windows registar Run ključ pod nazivom “Management”. Ovo osigurava da maliciozni softver preživi ponovno pokretanje sistema i održi dugoročni pristup kompromitovanom sistemu. Maliciozna DLL zatim čita sadržaj datoteke “1.txt”, koja sadrži 0xc04 bajt shellcode baziran na open-source alatu sRDI (Shellcode Reflective DLL Injection). Ovaj shellcode provodi reflektivno učitavanje DLL-a, ubrizgavajući Sainbox RAT direktno u memoriju bez dodirivanja diska, čime izbjegava mnoge tradicionalne mehanizme detekcije i uspostavlja sofisticiranu infrastrukturu za komandu i kontrolu radi dugoročne kompromitacije sistema.
