Istraživači iz oblasti informacionе bezbjednosti otkrili su sofisticiranu kampanju zlonamjernih softverskih napada koja iskorištava popularnost alatki vještačke inteligencije kako bi ciljala korisnike sa kineskog govornog područja.
Ovaj napad koristi lažne instalere koji se predstavljaju kao legitimni preuzimači softvera, uključujući popularni AI chatbot DeepSeek, kako bi na računare žrtava postavili napredne perzistentne prijetnje.
Ova kampanja predstavlja zabrinjavajuću evoluciju u taktikama socijalnog inženjeringa, gdje akteri prijetnji kapitalizuju na novim tehnološkim trendovima kako bi povećali uspješnost svojih napada.
Zlonamjerna operacija primjenjuje višestepeni proces infekcije koji počinje pažljivo kreiranim phishing web stranicama koje imitiraju zvanične stranice za distribuciju softvera.
Žrtve se navode da preuzmu ono što izgleda kao legitimni instaleri za popularne kineske aplikacije, kao što su WPS Office, Sogou i DeepSeek.
Ovi lažni instaleri, uglavnom distribuirani u obliku MSI datoteka, sadrže sofisticirane terete (payloads) dizajnirane da uspostave dugoročnu kompromitaciju sistema, istovremeno zadržavajući prikrivenost kroz napredne tehnike izbjegavanja detekcije.
Analitičari kompanije Netskope identifikovali su ovu kampanju tokom rutinskih aktivnosti lovca na prijetnje, otkrivši da lažni instaleri isporučuju dvije glavne zlonamjerne komponente: Sainbox RAT, varijantu ozloglašene porodice Gh0stRAT, i modificiranu verziju open-source rootkit-a nazvanog Hidden.
Istraživači su ove aktivnosti pripisali grupi Silver Fox, kolektivu sa sjedištem u Kini, sa srednjim stepenom sigurnosti, na osnovu taktičkih obrazaca, analize infrastrukture i preferencija ciljanja.
Tehnička sofisticiranost napada postaje jasna prilikom ispitivanja mehanizma infekcije.
Kada se izvrši, zlonamjerni MSI installer provodi dvostruku, obmanjujuću operaciju, istovremeno instalirajući legitimni softver kako bi izbjegao sumnju korisnika, dok istovremeno postavlja svoj zlonamjerni teret putem složene tehnike bočnog učitavanja (side-loading).
Mehanizam infekcije i taktike perzistencije
Srž ovog napada oslanja se na bočno učitavanje DLL-ova (DLL side-loading), tehniku koja iskorištava proces učitavanja dinamičkih biblioteka u Windows okruženju kako bi izvršila zlonamjerni kod.
Lažni installer postavlja tri ključna fajla: legitimni izvršni fajl nazvan “Shine.exe”, zlonamjerni DLL koji se predstavlja kao “libcef.dll” (legitimna biblioteka Chromium Embedded Framework) i podatkovni fajl pod nazivom “1.txt” koji sadrži kodirane shellcode i konačni teret.
Lanac infekcije započinje kada se Shine.exe izvrši i automatski učita zlonamjerni libcef.dll putem Windows mehanizma bočnog učitavanja.
Izvozena funkcija DLL-a “cef_api_hash” služi kao ulazna tačka, odmah uspostavljajući perzistenciju upisivanjem putanje do Shine.exe u registry ključ Windowsa “Run”, pod nazivom “Management”.
Ovo osigurava da zlonamjerni softver preživi ponovno pokretanje sistema i održi dugoročni pristup kompromitovanom sistemu.
Zlonamjerni DLL zatim čita sadržaj “1.txt”, koji sadrži 0xc04 bajt shellcode zasnovan na open-source alatki sRDI (Shellcode Reflective DLL Injection).
Ovaj shellcode obavlja reflektivno učitavanje DLL-ova, ubrizgavajući Sainbox RAT direktno u memoriju bez dodirivanja diska, čime se izbjegavaju mnogi tradicionalni mehanizmi detekcije i uspostavlja sofisticirana infrastruktura komande i kontrole za upornu kompromitaciju sistema.