Istraživači u oblasti sajberbezbjednosti otkrili su naprednu kampanju zlonamjernog softvera koja iskorištava popularnost alata vještačke inteligencije kako bi ciljala korisnike koji govore kineski jezik. Ovakav napad koristi lažne instalere koji se predstavljaju kao legitimni softver, uključujući popularni AI četbot DeepSeek, kako bi se na sisteme žrtava instalirale napredne prijetnje koje se teško otkrivaju. Ova kampanja predstavlja zabrinjavajuću eskalaciju u taktikama socijalnog inženjeringa, gdje napadači koriste trendove u novim tehnologijama radi povećanja uspješnosti svojih napada.
Zlonamjerna operacija primjenjuje višestepeni proces infekcije koji započinje pažljivo kreiranim fišing veb stranicama, koje imitiraju zvanične stranice za distribuciju softvera. Korisnici bivaju navedeni da preuzmu ono što izgleda kao legitimni instalacioni program za popularne kineske aplikacije, kao što su WPS Office, Sogou i DeepSeek. Ovi lažni instaleri, uglavnom distribuirani u obliku MSI datoteka, sadrže sofisticirane terete (payloads) namijenjene dugoročnom ugrožavanju sistema, uz očuvanje prikrivenosti primjenom naprednih tehnika izbjegavanja otkrivanja.
Analitičari iz kompanije Netskope identifikovali su ovu kampanju tokom rutinskih aktivnosti lova na prijetnje, otkrivši da lažni instalatori isporučuju dvije primarne zlonamjerne komponente: Sainbox RAT, varijantu poznate porodice Gh0stRAT, te modifikovanu verziju open-source rootkita pod nazivom Hidden. Istraživači su aktivnosti pripisali grupi Silver Fox, grupi neprijateljski nastrojenih pojedinaca sa sjedištem u Kini, sa umjerenim stepenom sigurnosti, na osnovu taktičkih obrazaca, analize infrastrukture i preferencija ciljanja.
Tehnička složenost napada postaje jasna nakon ispitivanja mehanizma infekcije. Po izvršavanju, zlonamjerni MSI instalater obavlja dvostruku, prikrivenu operaciju: istovremeno instalira legitimni softver kako bi izbjegao sumnju korisnika, a pritom ubacuje svoj zlonamjerni teret putem kompleksne tehnike bočnog učitavanja (side-loading).
Osnova ovog napada leži u DLL bočnom učitavanju, tehnici koja iskorištava proces učitavanja dinamičkih biblioteka u Windows operativnom sistemu radi izvršavanja zlonamjernog koda. Lažni instalater ostavlja tri ključne datoteke: legitimni izvršni program nazvan “Shine.exe”, zlonamjernu DLL datoteku koja se predstavlja kao “libcef.dll” (legitimna biblioteka Chromium Embedded Framework) i podatkovnu datoteku “1.txt” koja sadrži kodirani shellcode i konačni teret.
Lanac infekcije započinje kada se Shine.exe izvrši i automatski učita zlonamjernu libcef.dll putem Windows mehanizma bočnog učitavanja. Izvezena funkcija DLL-a, “cef_api_hash”, služi kao ulazna tačka, odmah uspostavljajući perzistentnost pisanjem putanje do Shine.exe u Windows registar ključ Run pod nazivom “Management”. Ovo osigurava da zlonamjerni softver preživi ponovno pokretanje sistema i zadrži dugoročni pristup ugroženom sistemu. Zlonamjerna DLL potom čita sadržaj datoteke “1.txt”, koja sadrži shellcode veličine 0xc04 bajtova baziran na open-source alatu sRDI (Shellcode Reflective DLL Injection). Ovaj shellcode obavlja reflektivno učitavanje DLL-a, ubrizgavajući Sainbox RAT direktno u memoriju bez pristupa disku, čime izbjegava mnoge tradicionalne mehanizme otkrivanja i uspostavlja sofisticiranu komandno-kontrolnu infrastrukturu za dugoročno ugrožavanje sistema.
