Istraživači iz oblasti kibernetičke sigurnosti otkrili su sofisticiranu kampanju zlonamjernog softvera koja iskorištava popularnost alata umjetne inteligencije kako bi ciljala korisnike koji govore kineski jezik. U ovoj kampanji se koriste lažni instalatori koji se predstavljaju kao legitimni preuzimanja softvera, uključujući popularni AI chatbot DeepSeek, kako bi se na ciljane sisteme instalirale napredne perzistentne prijetnje. Ovakav vid napada predstavlja zabrinjavajuću evoluciju u taktikama socijalnog inženjeringa, gdje napadači koriste najnovije tehnološke trendove kako bi povećali uspješnost svojih napada.
Zlonamjerna operacija primjenjuje višefazni proces zaraze koji započinje pažljivo kreiranim phishing web stranicama koje imitiraju zvanične stranice za distribuciju softvera. Žrtve se navode na preuzimanje onoga što se čini kao legitimni instalatori za popularne kineske aplikacije poput WPS Office, Sogou i DeepSeek. Ovi lažni instalatori, uglavnom distribuirani kao MSI datoteke, sadrže sofisticirane terete (payloads) dizajnirane da uspostave dugoročnu kompromitaciju sistema, zadržavajući pri tome prikrivenost kroz napredne tehnike izbjegavanja detekcije.
Analitičari kompanije Netskope identifikovali su ovu kampanju tokom redovnih aktivnosti lova na prijetnje. Otkrili su da lažni instalatori dostavljaju dvije glavne zlonamjerne komponente: Sainbox RAT, varijantu ozloglašene porodice Gh0stRAT, te modifikovanu verziju open-source rootkit-a pod nazivom Hidden. Stručnjaci su sa srednjom sigurnošću ove aktivnosti pripisali grupi Silver Fox, kolektivu neprijateljskih aktera iz Kine, na osnovu taktičkih obrazaca, analize infrastrukture i preferenci meta. Tehnička sofisticiranost napada postaje očigledna prilikom pregleda mehanizma zaraze. Nakon izvršenja, zlonamjerni MSI instalator provodi dvostruku operaciju, istovremeno instalirajući legitimni softver kako bi izbjegao sumnju korisnika, dok istovremeno kroz kompleksnu tehniku side-loadinga postavlja svoj zlonamjerni teret.
Srž ovog napada oslanja se na DLL side-loading, tehniku koja iskorištava proces učitavanja dinamičkih biblioteka u Windowsu kako bi izvršila zlonamjerni kod. Lažni instalator ispušta tri ključna fajla: legitimni izvršni fajl pod nazivom “Shine.exe”, zlonamjernu DLL datoteku koja se predstavlja kao “libcef.dll” (legitimna biblioteka Chromium Embedded Framework) i podatkovnu datoteku nazvanu “1.txt” koja sadrži kodirani shellcode i konačni teret. Lanac zaraze počinje kada se Shine.exe izvrši i automatski učita zlonamjernu libcef.dll putem Windows mehanizma side-loadinga. Izvezena funkcija DLL-a, “cef_api_hash”, služi kao ulazna tačka, odmah uspostavljajući perzistentnost upisivanjem putanje do Shine.exe u Windows registar Run ključ pod nazivom “Management”. Ovo osigurava da zlonamjerni softver preživi ponovno pokretanje sistema i održi dugoročni pristup kompromitovanom sistemu. Zlonamjerna DLL zatim čita sadržaj datoteke “1.txt”, koja sadrži 0xc04 bajt shellcode baziran na open-source alatu sRDI (Shellcode Reflective DLL Injection). Ovaj shellcode provodi reflektivno učitavanje DLL-a, ubrizgavajući Sainbox RAT direktno u memoriju bez dodirivanja diska, čime izbjegava mnoge tradicionalne mehanizme detekcije i uspostavlja sofisticiranu infrastrukturu za komandu i kontrolu radi dugoročne kompromitacije sistema.
