Ciberataque 'Silver Fox' se extiende en Asia con nuevo malware AtlasCross RAT

Un grupo de cibercriminales chinos, conocido como Silver Fox (también rastreado como SwimSnake, The Great Thief of Valley, UTG-Q-1000 y Void Arachne), está llevando a cabo una campaña de ciberataques en Asia, utilizando dominios web falsos que imitan a marcas de software populares para distribuir un nuevo programa malicioso llamado AtlasCross RAT (Remote Access Trojan, o troyano de acceso remoto). Este tipo de malware permite a los atacantes controlar remotamente los dispositivos infectados. Hexastrike, una empresa de ciberseguridad alemana, descubrió esta actividad y publicó un informe al respecto.

Cómo funciona el ataque

Los atacantes crean sitios web fraudulentos que se parecen a los de empresas legítimas, un truco conocido como "typosquatting" (registrar dominios con errores ortográficos sutiles o variaciones). Engañan a los usuarios para que descarguen archivos ZIP que contienen un instalador malicioso. Este instalador incluye un programa legítimo de Autodesk para no levantar sospechas, pero también instala en secreto el AtlasCross RAT. El proceso es complejo e incluye la descarga de componentes adicionales desde servidores controlados por los atacantes.

• Los sitios web falsos imitan a marcas como Surfshark VPN, Signal, Telegram, Zoom y Microsoft Teams.
• El malware AtlasCross RAT tiene la capacidad de inyectarse en WeChat, secuestrar sesiones RDP (Remote Desktop Protocol, para control remoto de equipos), y detener conexiones de productos de seguridad chinos como 360 Safe y QQ PC Manager.
• Utiliza técnicas para evitar ser detectado por sistemas de seguridad, como la desactivación de AMSI (Anti-Malware Scan Interface) y ETW (Event Tracing for Windows).

A quién afecta

Esta campaña está dirigida principalmente a usuarios de habla china. Los atacantes se centran en programas populares como clientes VPN, mensajeros cifrados, herramientas de videoconferencia, rastreadores de criptomonedas y aplicaciones de comercio electrónico. También se han detectado ataques dirigidos a empresas en Japón, Malasia, Filipinas, Tailandia, Indonesia, Singapur e India desde diciembre de 2025.

El certificado robado

Todos los instaladores maliciosos identificados utilizan el mismo certificado de firma de código robado, perteneciente a una empresa vietnamita llamada DUC FABULOUS CO.,LTD. Este certificado permite que el malware parezca legítimo y evite algunas comprobaciones de seguridad. El hecho de que este certificado se utilice en otras campañas de malware sugiere un mercado negro de certificados robados.

Qué significa esto para ti

Si eres usuario de alguna de las aplicaciones mencionadas, especialmente si resides en Asia o utilizas versiones en chino, debes ser extremadamente cauteloso al descargar software. Verifica siempre que estás descargando desde el sitio web oficial y presta atención a la URL (dirección web) para detectar posibles errores o variaciones. Desconfía de las ofertas demasiado buenas para ser verdad y mantén tu software de seguridad actualizado. Para empresas, la recomendación es monitorear el uso de certificados de firma de código y revisar la legitimidad de los programas utilizados, especialmente aquellos de origen asiático o que soliciten permisos inusuales.