Istraživači sa sajta Cybersecurity News razotkrili su sofisticiranu kampanju malvera koja iskorištava popularnost alatki vještačke inteligencije kako bi napala korisnike sa kineskog govornog područja. Ova kampanja koristi lažne instalere koji se predstavljaju kao legitimni programi, uključujući popularni AI četbot DeepSeek, s ciljem ubacivanja naprednih stalnih prijetnji na sisteme žrtava.
Ova kampanja predstavlja zabrinjavajući napredak u taktikama socijalnog inženjeringa, gdje napadači koriste nove tehnološke trendove kako bi povećali uspješnost svojih napada. Zlonamjerna operacija uključuje višefazni proces infekcije koji počinje pažljivo osmišljenim fišing web stranicama koje imitiraju zvanične stranice za distribuciju softvera.
Žrtve se navode da preuzmu ono što izgleda kao legitimni instalacioni programi za popularne kineske aplikacije kao što su WPS Office, Sogou i DeepSeek. Ovi lažni instalacioni programi, uglavnom distribuirani u obliku MSI datoteka, sadrže sofisticirane terete (payloads) dizajnirane da uspostave dugoročnu kompromitaciju sistema, održavajući pri tome prikrivenost kroz napredne tehnike izbjegavanja detekcije.
Analitičari Netskopea identifikovali su ovu kampanju tokom redovnih aktivnosti praćenja prijetnji, otkrivši da lažni instalacioni programi dostavljaju dvije primarne zlonamjerne komponente: Sainbox RAT, varijantu ozloglašene porodice Gh0stRAT, i modifikovanu verziju open-source rootkit-a Hidden. Istraživači su, sa umjerenim stepenom pouzdanosti, ove aktivnosti pripisali grupi Silver Fox, kolektivu napadača baziranom u Kini, na osnovu taktičkih obrazaca, analize infrastrukture i preferencija ciljanja.
Tehnička sofisticiranost napada postaje očigledna prilikom analize mehanizma infekcije. Kada se izvrši, zlonamjerni MSI instalacioni program provodi dvostruku operaciju: istovremeno instalira legitimni softver kako bi izbjegao sumnju korisnika, a pritom ubacuje svoj zlonamjerni teret putem složene tehnike bočnog učitavanja (side-loading).
Mehanizam infekcije i taktike persistencije oslanjaju se na DLL side-loading, tehniku koja iskorištava proces učitavanja dinamičkih biblioteka u Windowsu za izvršavanje zlonamjernog koda. Lažni instalacioni program postavlja tri ključna fajla: legitimni izvršni fajl pod nazivom “Shine.exe”, zlonamjerni DLL koji se predstavlja kao “libcef.dll” (legitimna biblioteka Chromium Embedded Frameworka) i podatkovni fajl pod nazivom “1.txt” koji sadrži kodiran shellcode i konačni teret.
Lanac infekcije počinje kada se Shine.exe izvrši i automatski učita zlonamjerni libcef.dll putem Windows mehanizma bočnog učitavanja. Izvozena funkcija DLL-a, “cef_api_hash”, služi kao ulazna tačka, odmah uspostavljajući persistenciju upisivanjem putanje do Shine.exe u Windows registar ključ Run pod nazivom “Management”. Ovo osigurava da malver preživi ponovno pokretanje sistema i zadrži dugoročni pristup kompromitovanom sistemu.
Zlonamjerni DLL zatim čita sadržaj fajla “1.txt”, koji sadrži shellcode veličine 0xc04 bajtova baziran na open-source alatu sRDI (Shellcode Reflective DLL Injection). Ovaj shellcode provodi reflektivno učitavanje DLL-a, ubrizgavajući Sainbox RAT direktno u memoriju bez dodirivanja diska, čime se izbjegavaju mnogi tradicionalni mehanizmi detekcije i uspostavlja sofisticirana infrastruktura komandne i kontrolne (C2) za upornu kompromitaciju sistema.