Istraživači iz oblasti kibernetičke sigurnosti otkrili su sofisticiranu kampanju zlonamjernog softvera koja iskorištava popularnost alata vještačke inteligencije za ciljanje korisnika koji govore kineski. Napad koristi lažne instalere koji se predstavljaju kao legitimni preuzeti sadržaji, uključujući popularni AI chatbot DeepSeek, kako bi na sisteme žrtava ubacili napredne perzistentne prijetnje. Ova kampanja predstavlja zabrinjavajući napredak u taktikama socijalnog inženjeringa, gdje napadači koriste trendove novih tehnologija kako bi povećali uspješnost svojih napada.
Zlonamjerna operacija primjenjuje višefazni proces infekcije koji započinje pažljivo kreiranim web stranicama za phishing, koje imitiraju zvanične stranice za distribuciju softvera. Žrtve se mame na preuzimanje onoga što se čini kao legitimni instalatori popularnih kineskih aplikacija kao što su WPS Office, Sogou i DeepSeek. Ovi krivotvoreni instalatori, uglavnom distribuirani kao MSI datoteke, sadrže sofisticirane terete dizajnirane da postignu dugoročnu kompromitaciju sistema uz održavanje prikrivenosti putem naprednih tehnika izbjegavanja.
Analitičari Netskopea su ovu kampanju identifikovali tokom rutinskih aktivnosti praćenja prijetnji, otkrivši da lažni instalatori dostavljaju dvije primarne zlonamjerne komponente: Sainbox RAT, varijantu zloglasne porodice Gh0stRAT, i modificiranu verziju otvorene izvorne rootkit pozadine. Istraživači su ove aktivnosti pripisali grupi Silver Fox, kolektivu napadača sa sjedištem u Kini, sa srednjim povjerenjem zasnovanim na taktičkim obrascima, analizi infrastrukture i preferencijama ciljanja.
Tehnička sofisticiranost napada postaje očita pri ispitivanju mehanizma infekcije. Kada se izvrši, zlonamjerni MSI instalator vrši dvostruku operaciju obmane, istovremeno instalirajući legitimni softver kako bi izbjegao sumnju korisnika, dok svoj zlonamjerni teret raspoređuje putem složene tehnike bočnog učitavanja.
Mehanizam infekcije i taktike perzistencije
Srž ovog napada oslanja se na bočno učitavanje DLL-ova, tehniku koja iskorištava proces učitavanja dinamičkih biblioteka Windows-a za izvršavanje zlonamjernog koda. Lažni instalator raspakuje tri ključne datoteke: legitimni izvršni program nazvan “Shine.exe”, zlonamjerni DLL koji se predstavlja kao “libcef.dll” (legitimna biblioteka Chromium Embedded Framework) i podatkovnu datoteku nazvanu “1.txt” koja sadrži kodirani shellcode i konačni teret.
Lanac infekcije započinje kada se Shine.exe izvrši i automatski učita zlonamjerni libcef.dll putem mehanizma bočnog učitavanja Windows-a. Izvezena funkcija DLL-a “cef_api_hash” služi kao ulazna točka, odmah uspostavljajući perzistenciju upisivanjem putanje Shine.exe u ključ za pokretanje registra Windows-a pod nazivom “Management”. Ovo osigurava da zlonamjerni softver preživi ponovno pokretanje sistema i održi dugoročni pristup kompromitovanom sistemu. Zlonamjerni DLL zatim čita sadržaj datoteke “1.txt”, koja sadrži shellcode veličine 0xc04 bajta zasnovan na alatu otvorenog koda sRDI (Shellcode Reflective DLL Injection). Ovaj shellcode vrši refleksivno učitavanje DLL-ova, ubrizgavajući Sainbox RAT direktno u memoriju bez dodirivanja diska, čime izbjegava mnoge tradicionalne mehanizme detekcije i uspostavlja sofisticiranu infrastrukturu komandovanja i upravljanja za upornu kompromitaciju sistema.
