Istraživači iz oblasti sajberbezbednosti otkrili su složenu kampanju malvera koja iskorištava popularnost alata vještačke inteligencije kako bi ciljali korisnike koji govore kineski jezik.
Ova kampanja koristi lažne instalere koji se predstavljaju kao legitimni preuzeti softver, uključujući popularni AI chatbot DeepSeek, kako bi na sisteme žrtava ubacili napredne perzistentne prijetnje.
Ova aktivnost predstavlja zabrinjavajuću evoluciju u taktikama socijalnog inženjeringa, gdje napadači kapitalizuju na novim tehnološkim trendovima kako bi povećali uspješnost svojih napada.
Zlonamjerna operacija primjenjuje višestepeni proces infekcije koji započinje pažljivo kreiranim fišing veb stranicama koje imitiraju zvanične stranice za distribuciju softvera.
Žrtve se navode da preuzmu ono što izgleda kao legitimni instalatori popularnih kineskih aplikacija, kao što su WPS Office, Sogou i DeepSeek.
Ovi lažni instalatori, uglavnom distribuirani kao MSI datoteke, sadrže sofisticirane pakete namijenjene za dugoročno ugrožavanje sistema, zadržavajući se neprimjetno kroz napredne tehnike izbjegavanja otkrivanja.
Analitičari Netskopea identifikovali su ovu kampanju tokom rutinskih aktivnosti praćenja prijetnji, otkrivši da lažni instalatori isporučuju dvije glavne zlonamjerne komponente: Sainbox RAT, varijantu zloglasne porodice Gh0stRAT, te modifikovanu verziju open-source Hidden rootkita.
Istraživači su ove aktivnosti pripisali grupi Silver Fox, grupaciji napadača iz Kine, sa srednjim stepenom povjerenja zasnovanim na taktičkim obrascima, analizi infrastrukture i preferencijama ciljanja.
Tehnička sofisticiranost napada postaje očigledna nakon pregleda mehanizma infekcije.
Po izvršavanju, zlonamjerni MSI instalator vrši dvostruku operaciju obmane, istovremeno instalirajući legitimni softver kako bi izbjegao sumnju korisnika, dok istovremeno ubacuje svoj zlonamjerni teret putem složene tehnike bočnog učitavanja.
Suština ovog napada oslanja se na DLL bočno učitavanje, tehniku koja iskorištava proces učitavanja dinamičkih biblioteka Windowsa radi izvršavanja zlonamjernog koda.
Lažni instalator otpakuje tri ključne datoteke: legitimni izvršni fajl pod nazivom “Shine.exe”, zlonamjernu DLL datoteku koja se predstavlja kao “libcef.dll” (legitimna biblioteka Chromium Embedded Framework), te podatkovnu datoteku pod nazivom “1.txt” koja sadrži kodirane školjke i konačni teret.
Lanac infekcije započinje kada se Shine.exe izvrši i automatski učita zlonamjernu libcef.dll kroz mehanizam bočnog učitavanja Windowsa.
Izvozena funkcija DLL-a, “cef_api_hash”, služi kao ulazna tačka, odmah uspostavljajući perzistenciju upisivanjem putanje Shine.exe u Windows registar ključ Run pod nazivom “Management”.
Ovo osigurava da malver preživi ponovno pokretanje sistema i zadrži dugoročni pristup kompromitovanom sistemu.
Zlonamjerni DLL zatim čita sadržaj datoteke “1.txt”, koja sadrži školjke veličine 0xc04 bajtova zasnovane na open-source alatu sRDI (Shellcode Reflective DLL Injection).
Ove školjke izvode reflektivno učitavanje DLL-ova, ubrizgavajući Sainbox RAT direktno u memoriju bez dodirivanja diska, čime se izbjegavaju mnogi tradicionalni mehanizmi detekcije i uspostavlja sofisticirana komandno-kontrolna infrastruktura za dugoročno kompromitovanje sistema.
