Expansion de Silver Fox en Asie avec AtlasCross RAT et domaines

LockSelf Team

5 min de lecture
Partager
Expansion de Silver Fox en Asie avec AtlasCross RAT et domaines

Analyse technique

Vecteur d'infection et chaîne d'attaque

La campagne repose sur un schéma classique de typosquatting mais exécuté avec soin. Des victimes reçoivent des liens vers des sites qui imitent des marques connues dans les domaines des VPN et des outils de visioconférence. Ces pages proposent des installeurs (EXE, DMG, APK selon la plateforme), parfois signés, parfois non. Le vecteur d'infection est l'installation d'un binaire malveillant présenté comme un client légitime. Les malwares sont souvent empaquetés dans des archives auto-extractibles et servis via HTTPS pour réduire la suspicion.

Le déroulé observé en réponse aux incidents se lit ainsi :

  • Visite d'une page typosquattée conçue pour ressembler à un site officiel.
  • Téléchargement d'un installeur depuis un domaine récent ou voisin orthographiquement.
  • Exécution d'un loader léger et obfusqué qui vérifie la présence d'une machine virtuelle ou d'une sandbox, puis déchiffre et charge le payload principal.
  • Déploiement d'AtlasCross RAT, qui installe des mécanismes de collecte, de persistance et d'exfiltration.

Le groupe derrière l'opération adapte les pages et les messages en langues sinophones et cible principalement l'Asie sinophone, ce qui augmente le taux de succès localement ¹.

Mécanismes techniques et capacités d'AtlasCross

AtlasCross se présente comme un RAT modulaire. Le scénario typique commence par un loader packé, avec protections anti-debugging et anti-analyse. Après des contrôles d'environnement, le loader met en place la persistance et active les modules dont le contrôleur a besoin.

Principales capacités identifiées :

  • Contrôle à distance : collecte de fichiers, keylogging, exécution de commandes arbitraires, captures d'écran et gestion des processus.
  • Pivot et tunneling : redirection de ports pour établir tunnels et relayer du trafic.
  • Réseau : communication chiffrée avec un C2, recours à des domaines et services cloud comme fallback pour masquer l'infrastructure malveillante.
  • Exfiltration : fragmentation des paquets, encapsulation dans du trafic HTTPS légitime et, occasionnellement, tunnels DNS.

Comportements notables observés :

  • Utilisation d'API Windows classiques pour réduire la surface détectable par des signatures basées sur des appels peu communs (CreateRemoteThread, WriteProcessMemory, etc.).
  • Persistance via tâches planifiées et clés RunOnce, parfois par l'abus de services Windows standards.
  • Infrastructure C2 distribuée sur une grille de sous-domaines avec rotation fréquente, facilitant la résilience de la chaîne d'exfiltration ¹.

Failles exploitées et absence de CVE public

Illustration cybersécurité

Aucun CVE public n'a été attribué à AtlasCross ; la campagne mise sur l'ingénierie sociale plutôt que sur une faille logicielle exploitée à grande échelle. Les leviers sont les faux installeurs et les mises à jour trompeuses, ce qui rend la prévention purement technique insuffisante si l'origine et la politique de distribution des applications ne sont pas contrôlées.

Détection et artefacts utiles pour l'investigation

Indicateurs à prioriser lors d'une enquête :

  • Connexions vers des domaines typosquattés fraîchement enregistrés. Vérifier l'âge WHOIS des domaines et chercher des modèles d'orthographe inhabituels.
  • Processus enfants lancés depuis des navigateurs ou des clients d'archive après téléchargement, notamment des exécutables démarrant depuis %TEMP% ou %AppData%.
  • Tâches planifiées pointant vers des exécutables dans des répertoires temporaires.
  • Connexions TLS persistantes vers des endpoints cloud qui ne correspondent pas aux fournisseurs officiels utilisés par l'organisation.

Exemples de règles SIEM/Sysmon à déployer rapidement :

  • Sysmon EventID 1 - Process Create : alerter sur l'exécution d'un EXE depuis %TEMP% ou %AppData% et sur toute exécution initiée par comptes non administrateurs.
  • Sysmon EventID 3 - Network Connect : détecter connexions sortantes vers des domaines récemment enregistrés ou présentant des patterns typosquattés.
  • Sysmon EventID 11 - FileCreate : signaler créations d'exécutables dans des répertoires non standards.

Règles YARA et signatures heuristiques doivent se focaliser sur loaders packés, sections PE anormales et empreintes d'anti-sandbox. La journalisation réseau TLS SNI et l'analyse des certificats côté proxy aident à corréler des connexions suspectes avec des domaines malveillants.

Impacts business

La compromission par AtlasCross peut conduire à des vols de secrets d'authentification, permettant des usurpations de comptes sur des environnements de production. L'exfiltration de données clients ou de propriété intellectuelle expose l'entreprise à des sanctions réglementaires, à des coûts de notification et à un risque réputationnel majeur.

Estimation des coûts : les dépenses liées à la réponse, à l'investigation et à la remédiation peuvent atteindre plusieurs centaines de milliers à plusieurs millions d'euros, en fonction de l'ampleur et de la nature des données compromises ³. À cela s'ajoutent les coûts indirects : perte de clients, efforts de communication et sanctions éventuelles.

Risques sectoriels spécifiques :

  • Fintech et services crypto : vol de clés API et accès non autorisé aux flux financiers.
  • SaaS multi-tenant : compromission d'outils de gestion ou de communication entraînant une propagation entre clients.

Recommandations

Actions urgentes (24 à 72 heures) :

  • Isoler les postes suspectés et collecter les journaux système et réseau pour conserver des preuves.
  • Bloquer les domaines identifiés au niveau DNS et proxy, et déployer des règles pour empêcher la résolution des typosquats connus ¹.
  • Révoquer et forcer la rotation des identifiants sensibles et des tokens si une exposition est envisagée.

Mesures tactiques (1 à 4 semaines) :

  • Affiner les règles EDR/AV sur les comportements plutôt que sur les signatures statiques : exécution depuis répertoires temporaires, injections mémoire, création de tâches planifiées par processus non privilégiés.
  • Restreindre les droits d'installation : centraliser les déploiements via des dépôts approuvés et limiter les installations locales aux administrateurs.
  • Vérifier l'intégrité des chaînes de distribution : signer les installeurs, conserver des hashes officiels et héberger les binaires sur des dépôts gérés.

Mesures stratégiques (1 à 6 mois) :

  • Mettre en place une politique de surveillance des domaines ressemblants et envisager l'enregistrement préventif de variantes critiques.
  • Déployer une allowlist applicative et exiger des signatures de code valides pour tous les installeurs internes.
  • Lancer des campagnes de sensibilisation ciblées, avec exemples concrets de typosquats et procédures de vérification d'URL.

Recommandations techniques supplémentaires :

  • Activer la journalisation TLS SNI au niveau du réseau pour corréler les résolutions de noms avec des listes de domaines légitimes et suspects.
  • Mettre en place une inspection HTTPS via proxy pour analyser les installeurs téléchargés et bloquer les exécutables non conformes.
  • Surveiller les accès administratifs et générer des alertes sur élévations de privilèges en dehors des heures habituelles.

Synthèse et points d'attention

La campagne attribuée au groupe Silver Fox illustre la persistance du typosquatting et la montée en puissance des RATs modulaires comme AtlasCross ¹. La défense efficace combine contrôles techniques (filtrage DNS, EDR comportemental, allowlist), gouvernance de la distribution logicielle et formation des utilisateurs. Les organisations actives en Asie sinophone doivent renforcer la surveillance des imitations de marque et durcir les contrôles sur les téléchargements et installations de logiciels.

Selon les bonnes pratiques d'hygiène informatique, l'usage combiné de mesures préventives, de détection et de préparation opérationnelle réduit sensiblement l'impact d'incidents de ce type ².

Questions fréquentes

Comment identifier rapidement si un domaine est typosquatté?

Vérifier l'âge du domaine et les données WHOIS, comparer l'orthographe exacte avec le domaine officiel, analyser les enregistrements MX et NS, et rechercher des substitutions de caractères courantes (par exemple o->0, l->1). Un domaine récent ou hébergé sur des IP partagées est suspect. L'utilisation d'outils de veille de marque accélère la détection ¹.

Quelles règles EDR sont efficaces contre AtlasCross?

Prioriser des règles comportementales : exécution d'un binaire depuis %TEMP% ou %AppData%, création de tâches planifiées par des comptes non privilégiés, injection mémoire dans des processus légitimes et connexions sortantes vers domaines récemment enregistrés. Ces signatures réduisent la dépendance aux hash statiques.

Faut-il interdire tous les téléchargements d'installeurs depuis Internet?

Bloquer purement et simplement n'est pas réaliste sans catalogue d'applications. Mettre en place une validation centralisée, signer et héberger les installeurs officiels sur un dépôt géré et limiter les droits d'installation aux administrateurs offre un compromis opérationnel et sécuritaire.

Une signature de code valide garantit-elle la sûreté d'un installeur?

Non. Des binaires malveillants peuvent parfois être signés avec des certificats compromis ou obtenus frauduleusement. Il faut combiner la vérification de signature, l'analyse statique/dynamique et la comparaison des hashes avec les valeurs publiées sur le site officiel pour valider l'origine.

Sources

Lire la suite