Istraživači iz oblasti sajberbezbjednosti otkrili su složenu kampanju zlonamjernog softvera koja iskorištava popularnost alata vještačke inteligencije kako bi ciljala korisnike koji govore kineski jezik. Napad koristi lažne instalere koji se predstavljaju kao legitimni preuzimanja softvera, uključujući popularni AI četbot DeepSeek, kako bi na sisteme žrtava ubacili napredne perzistentne prijetnje. Ova kampanja predstavlja zabrinjavajuću evoluciju u taktikama socijalnog inženjeringa, gdje akteri prijetnji kapitalizuju na najnovijim tehnološkim trendovima kako bi povećali uspješnost svojih napada.
Zlonamjerna operacija primjenjuje višestepeni proces infekcije koji započinje pažljivo kreiranim fišing veb-stranicama koje imitiraju zvanične stranice za distribuciju softvera. Žrtve se navode da preuzmu ono što izgleda kao legitimni instalateri za popularne kineske aplikacije poput WPS Office, Sogou i DeepSeek. Ovi lažni instalateri, uglavnom distribuirani kao MSI datoteke, sadrže sofisticirane terete dizajnirane da postignu dugoročnu kompromitaciju sistema, a pritom zadrže prikrivenost kroz napredne tehnike izbjegavanja detekcije.
Analitičari Netskopea identifikovali su ovu kampanju tokom rutinskih aktivnosti praćenja prijetnji, otkrivši da lažni instalateri isporučuju dvije glavne zlonamjerne komponente: Sainbox RAT, varijantu ozloglašene porodice Gh0stRAT, i modifikovanu verziju open-source Hidden rootkita. Istraživači su ove aktivnosti, s umjerenom sigurnošću, pripisali grupi Silver Fox, kolektivu neprijatelja iz Kine, na osnovu taktičkih obrazaca, analize infrastrukture i preferencija ciljanja.
Tehnička sofisticiranost napada postaje očigledna pri ispitivanju mehanizma infekcije. Kada se izvrši, zlonamjerni MSI instalater izvodi dvostruku operaciju zavaravanja, istovremeno instalirajući legitimni softver kako bi izbjegao sumnju korisnika, dok istovremeno ubacuje svoj zlonamjerni teret putem složene tehnike bočnog učitavanja.
Mehanizam infekcije i taktike perzistencije: Ključ ovog napada leži u DLL side-loadingu, tehnici koja iskorištava proces učitavanja dinamičkih biblioteka u Windowsu kako bi izvršila zlonamjerni kod. Lažni instalater ispušta tri ključne datoteke: legitimni izvršni fajl nazvan “Shine.exe”, zlonamjernu DLL koja se predstavlja kao “libcef.dll” (legitimna biblioteka Chromium Embedded Framework) i podatkovnu datoteku pod nazivom “1.txt” koja sadrži kodirane shellcode i konačni teret.
Lanac infekcije započinje kada se Shine.exe izvrši i automatski učita zlonamjernu libcef.dll kroz Windows mehanizam bočnog učitavanja. Izvezena funkcija DLL-a “cef_api_hash” služi kao ulazna tačka, odmah uspostavljajući perzistenciju pisanjem putanje do Shine.exe u Windows registar Run ključ pod nazivom “Management”. Ovo osigurava da zlonamjerni softver preživi ponovno pokretanje sistema i zadrži dugoročni pristup kompromitovanom sistemu. Zlonamjerna DLL zatim čita sadržaj datoteke “1.txt”, koja sadrži 0xc04 bajtni shellcode baziran na open-source alatki sRDI (Shellcode Reflective DLL Injection). Ovaj shellcode izvodi refleksivno učitavanje DLL-a, ubrizgavajući Sainbox RAT direktno u memoriju bez dodirivanja diska, čime izbjegava mnoge tradicionalne mehanizme detekcije i uspostavlja sofisticiranu komandno-kontrolnu infrastrukturu za perzistentnu kompromitaciju sistema.
