Istraživači iz oblasti informacionе bezbjednosti otkrili su sofisticiranu kampanju malvera koja iskorištava popularnost alata vještačke inteligencije (AI) kako bi ciljala korisnike koji govore kineski jezik. Ova kampanja koristi lažne instalere koji se predstavljaju kao legitimni programi, uključujući popularni AI chatbot DeepSeek, da bi na sisteme žrtava ubacili napredne trajne prijetnje (APT).
Ovaj napad predstavlja zabrinjavajuću evoluciju u taktici socijalnog inženjeringa, gdje akteri prijetnji kapitalizuju na najnovijim tehnološkim trendovima kako bi povećali uspješnost svojih napada. Zlonamjerna operacija primjenjuje višestupanjski proces infekcije koji počinje pažljivo kreiranim fišing veb stranicama koje oponašaju zvanične stranice za distribuciju softvera.
Žrtve se navode da preuzmu ono što izgleda kao legitimni instalacioni programi za popularne kineske aplikacije poput WPS Office, Sogou i DeepSeek. Ovi lažni instalateri, koji se primarno distribuiraju kao MSI datoteke, sadrže sofisticirane terete (payloads) dizajnirane da uspostave dugoročnu kompromitaciju sistema, istovremeno zadržavajući prikrivenost naprednim tehnikama izbjegavanja otkrivanja.
Analitičari iz Netskopea identifikovali su ovu kampanju tokom redovnih aktivnosti lova na prijetnje, otkrivši da lažni instalateri isporučuju dvije primarne zlonamjerne komponente: Sainbox RAT, varijantu ozloglašene porodice Gh0stRAT, i modificiranu verziju open-source Hidden rootkit-a. Istraživači su ove aktivnosti pripisali Silver Fox grupi, kolektivu aktera prijetnji sa sjedištem u Kini, sa srednjim povjerenjem zasnovanim na taktičkim obrascima, analizi infrastrukture i preferencama ciljanja.
Tehnička sofisticiranost napada postaje očigledna pri ispitivanju mehanizma infekcije. Kada se izvrši, zlonamjerni MSI instalater obavlja dvostruku operaciju, istovremeno instalirajući legitimni softver kako bi izbjegao sumnju korisnika, dok istovremeno ubacuje svoj zlonamjerni teret putem složene tehnike side-loadinga.
Srž ovog napada oslanja se na DLL side-loading, tehniku koja iskorištava proces učitavanja dinamičkih biblioteka Windowsa za izvršavanje zlonamjernog koda. Lažni instalater ispušta tri ključne datoteke: legitimni izvršni program nazvan “Shine.exe”, zlonamjernu DLL datoteku koja se predstavlja kao “libcef.dll” (legitimna Chromium Embedded Framework biblioteka) i datoteku podataka pod nazivom “1.txt” koja sadrži šifrovani shellcode i konačni teret.
Lanac infekcije započinje kada se Shine.exe izvrši i automatski učita zlonamjernu libcef.dll putem Windows mehanizma side-loadinga. Izvezena funkcija DLL-a, “cef_api_hash”, služi kao ulazna tačka, odmah uspostavljajući postojanost upisivanjem putanje Shine.exe u Windows registar ključ Run pod nazivom “Management”. Ovo osigurava da malver preživi ponovno pokretanje sistema i održava dugoročni pristup kompromitovanom sistemu. Zlonamjerna DLL potom čita sadržaj datoteke “1.txt”, koja sadrži shellcode veličine 0xc04 bajta zasnovan na open-source alatki sRDI (Shellcode Reflective DLL Injection). Ovaj shellcode izvodi reflektujuće učitavanje DLL-a, ubrizgavajući Sainbox RAT direktno u memoriju bez dodirivanja diska, čime se izbjegavaju mnogi tradicionalni mehanizmi detekcije i uspostavlja sofisticirana komandno-kontrolna infrastruktura za postojanu kompromitaciju sistema.
Ovo upozorenje je objavljeno na blogu kompanije Netskope i prošireno putem više platformi, uključujući mrežu X, gdje su stručnjaci za sajberbezbjednost dijelili detalje o ovoj prijetnji. Kroz analiziranje kampanje, primijećeno je da prevaranti vješto koriste popularnost AI alata kako bi namamili korisnike. Korisnici su privučeni preuzimanjem lažnih instalera koji izgledaju kao legitimni programi, kao što su DeepSeek, WPS Office ili Sogou, čime se otvara put za instalaciju Sainbox RAT-a i Hidden rootkit-a. Metodologija napada uključuje kreiranje uvjerljivih fišing veb stranica koje oponašaju zvanične stranice za preuzimanje softvera, što u kombinaciji sa socijalnim inženjeringom čini prevaru vrlo efikasnom. Konkretno, lažni instalateri se distribuiraju kao MSI datoteke, koje potom, koristeći tehniku DLL side-loadinga, ubacuju zlonamjerni kod u sistem žrtve, a sve to dok se istovremeno instalira i legitimni softver kako bi se izbjeglo otkrivanje.