Istraživači iz oblasti sajberbezbjednosti otkrili su sofisticiranu kampanju zlonamjernog softvera koja iskorištava popularnost alata vještačke inteligencije kako bi ciljala korisnike kineskog govornog područja. U ovom napadu koriste se lažni instalatori koji se predstavljaju kao legitimni preuzimanja softvera, uključujući popularni AI četbot DeepSeek, kako bi na sisteme žrtava ubacili napredne perzistentne prijetnje. Ova kampanja predstavlja zabrinjavajuće unapređenje taktika socijalnog inženjeringa, gdje akteri prijetnji iskorištavaju nove tehnološke trendove radi povećanja uspješnosti svojih napada.
Maliciozna operacija se odvija kroz višestepeni proces infekcije, koji započinje pažljivo osmišljenim fišing veb-sajtovima koji imitiraju zvanične stranice za distribuciju softvera. Žrtve se navode da preuzmu ono što izgleda kao legitimni instalatori za popularne kineske aplikacije, kao što su WPS Office, Sogou i DeepSeek. Ovi lažni instalatori, prvenstveno distribuirani u obliku MSI datoteka, sadrže sofisticirane pakete zlonamjernog koda dizajnirane da ostvare dugoročnu kompromitaciju sistema, istovremeno zadržavajući prikrivenost kroz napredne tehnike izbjegavanja otkrivanja.
Analitičari kompanije Netskope identifikovali su ovu kampanju tokom redovnih aktivnosti praćenja prijetnji, otkrivši da lažni instalatori isporučuju dvije primarne maliciozne komponente: Sainbox RAT, varijantu ozloglašene porodice Gh0stRAT, i modifikovanu verziju open-source rootkit-a pod nazivom Hidden. Istraživači pripisuju ove aktivnosti grupi Silver Fox, kolektivu aktera prijetnji baziranom u Kini, sa umjerenim stepenom sigurnosti, na osnovu taktičkih obrazaca, analize infrastrukture i preferenci meta.
Tehnička sofisticiranost napada postaje očigledna nakon ispitivanja mehanizma infekcije. Kada se izvrši, maliciozni MSI instalator obavlja dvostruku operaciju: istovremeno instalira legitimni softver kako bi izbjegao sumnju korisnika, a zatim ubacuje svoj maliciozni paket putem složene tehnike bočnog učitavanja (side-loading).
Ključni mehanizam ovog napada oslanja se na DLL side-loading, tehniku koja eksploatiše proces učitavanja dinamičkih biblioteka u Windows operativnom sistemu radi izvršavanja malicioznog koda. Lažni instalator ostavlja tri ključne datoteke: legitimni izvršni program pod nazivom “Shine.exe”, malicioznu DLL datoteku koja se predstavlja kao “libcef.dll” (legitimna biblioteka Chromium Embedded Framework-a) i podatkovnu datoteku “1.txt” koja sadrži kodirani shellcode i konačni paket.
Lanac infekcije započinje kada se Shine.exe izvrši i automatski učita malicioznu libcef.dll putem Windows mehanizma side-loading-a. Izvezena funkcija DLL-a, “cef_api_hash”, služi kao ulazna tačka, odmah uspostavljajući perzistentnost upisivanjem putanje do Shine.exe u registar ključ “Run” u Windows-u pod imenom “Management”. Ovo osigurava da malver preživi ponovno pokretanje sistema i održi dugoročni pristup kompromitovanom sistemu. Maliciozni DLL zatim čita sadržaj datoteke “1.txt”, koja sadrži shellcode veličine 0xc04 bajtova, baziran na open-source alatu sRDI (Shellcode Reflective DLL Injection). Ovaj shellcode vrši reflektivno učitavanje DLL-a, ubrizgavajući Sainbox RAT direktno u memoriju bez interakcije sa diskom, čime izbjegava mnoga tradicionalna sredstva za otkrivanje i uspostavlja sofisticiranu komandno-kontrolnu infrastrukturu za perzistentnu kompromitaciju sistema.
