Silver Fox abusa de certificados de vehículos eléctricos robados en la campaña de malware AtlasCross RAT
Resumen Informativo
De acuerdo a la publicación titulada Silver Fox abusa de certificados de vehículos eléctricos robados en la campaña de malware AtlasCross RAT, difundida en fecha 26/03/2026 13:40, por el medio Cybersecuritynews (Autor: Guru Baran):
El grupo de amenazas persistentes avanzadas del nexo chino Silver Fox, también rastreado como Void Arachne y SwimSnake, se dirige activamente a usuarios y profesionales de habla china con una sofisticada campaña AtlasCross RAT. El investigador de seguridad Maurice Fielenbach de Hexastrike descubrió que los actores de amenazas que aprovechan dominios con errores tipográficos que se hacen pasar por marcas de software confiables como Surfshark, Signal y Zoom utilizan certificados de firma de código de validación extendida (EV) robados para eludir los controles de seguridad automatizados y establecer una persistencia profunda dentro de las redes empresariales.
Los actores de amenazas establecieron una extensa red de infraestructura para albergar páginas de destino pulidas que imitaban a proveedores de aplicaciones legítimos. Cuando las víctimas intentan descargar el software, reciben un archivo ZIP que contiene un instalador de Setup Factory anidado triple. Attack Flow (Fuente:Hexastrike) Este envoltorio externo coloca un componente troyanizado de Autodesk, denominado Schools.exe, junto con aplicaciones señuelo legítimas como UltraViewer, para disipar las sospechas de los usuarios. Para garantizar la longevidad operativa, AtlasCross termina activamente las conexiones TCP establecidas por productos de seguridad chinos populares, incluidos 360 Total Security y Huorong.
Tipo de indicadorValor/DetallesDescripciónCertificado EV robado2C1D12F8BBE0827400A8440AF74FFFA8DCC8097CDUC FABULOUS CO.,LTD (Válido hasta mayo de 2027)Dominio C2 e IPbifa668.com / 61.111.250[.]139Comunicación TCP C2 primaria sin procesar (Puerto 9899) Baliza de red maliciosa53 46 75 63 6b 00 00 00Valor hexadecimal para “SFuck” enviado durante el protocolo de enlace C2 Dominio Typosquatted www-surfshark[.]com Dominio de entrega de señuelos VPN de Surfshark Dominio Typosquattedsignal-signal[.]comDominio de entrega de señuelos de mensajería cifrada de SignalDirectorio provisionalC:Program Files (x86)GitMndsetupCarpeta de aplicación señuelo y payload caída La transición de Silver Fox de la terminación del proceso basada en controladores a la interrupción de la seguridad a nivel de red muestra un actor de amenazas que madura rápidamente. La publicación Silver Fox abusa de certificados EV robados en la campaña de malware AtlasCross RAT apareció por primera vez en Cyber Security News.
| Fuente: | Cybersecuritynews |
| Título original: | Silver Fox abusa de certificados de vehículos eléctricos robados en la campaña de malware AtlasCross RAT |
| Publicado: | 26/03/2026 13:40 |
| Enlace: | https://cybersecuritynews.com/silver-fox-abuses-stolen-ev-certificates |
| Consultado: | 26/03/2026 |
