קבוצת האקרים בשם AtlasCross מכוונת לארגונים עם פתיונות דיוג המתחזים לצלב האדום האמריקני, כדי להחדיר נוזקות בדלת אחורית. חברת אבטחת הסייבר NSFocus זיהתה שני סוסים טרויאניים שלא תועדו בעבר, DangerAds ו- AtlasAgent, הקשורים למתקפות דיוג של קבוצת ההאקרים החדשה. NSFocus מדווח כי ההאקרים הללו מתוחכמים וחמקניים ומונעים מחוקרי סייבר לקבוע את מקורם: "לאחר מחקר מעמיק של תהליך מתקפת הסייבר מצאו NSFOCUS Security Labs כי AtlasCross שונים למדי ממאפייני ההאקרים המוכרים מבחינת זרימת ביצוע, טכנולוגיית תקיפה, כלי תקיפה, יעדי תקיפה ועוד. גם הרמה הטכנית והגישה הזהירה אשר מפגינים ההאקרים הללו במהלך פעילותם ראויים לתשומת לב".
מתקפות AtlassCross מתחילות בהודעת דיוג המתחזה להיות מהצלב האדום האמריקני, המבקשת מהנמען להשתתף ב- "Blood Drive בספטמבר 2023". הודעות דוא"ל אלו מכילות קובץ מצורף של מסמך Word (.docm) הכולל מאקרו הקורא לקורבן ללחוץ על "הפעל תוכן" כדי להציג את התוכן המוסתר. פעולה זו תפעיל פקודות מאקרו זדוניות המדביקות את Windows בנוזקות DangerAds ו- AtlasAgent. פקודות המאקרו מחלצות תחילה ארכיון ZIP ב- Windows כדי לשחרר קובץ בשם KB4495667.pkg, שהוא פרופיל המערכת של DangerAds ומטען נוזקות. משימה מתוזמנת בשם "Microsoft Office Updates" נוצרת כדי להפעיל את DangerAds מדי יום למשך שלושה ימים. DangerAds מתפקד כמטען, מעריך את סביבת המארח ומפעיל קוד מעטפת מובנה, אם נמצאות מחרוזות ספציפיות בשם המשתמש או שם הדומיין של המערכת – דוגמה לטווח המיקוד הצר של AtlasCross. בסופו של דבר טוען DangerAds את x64.dll, שהוא הטרויאני של AtlasAgent – המטען האחרון המוחדר במתקפה. AtlasAgent הוא טרויאני C++ מותאם אישית ופונקציות הליבה שלו כוללות חילוץ פרטי מארח ותהליכים, מניעת הפעלה של תוכנות, ביצוע קוד מעטפת נוסף על המחשב שנפרץ והורדת קבצים משרתי C2 (פיקוד ובקרה) של ההאקרים.
עם ההפעלה הראשונה, שולחת הנוזקה מידע לשרתי ההאקרים כולל שם המחשב המקומי, מידע על מתאם רשת, כתובת IP מקומית, מידע על כרטיס רשת, ארכיטקטורת מערכת הפעלה ורשימת תהליכים פעילים. שרתי ההאקרים יגיבו לאחר מכן עם פקודות לביצוע של AtlasAgent, אותן ניתן לבצע באמצעות שרשורים חדשים או בתוך אחד מהתהליכים הקיימים, מה שיקשה על כלי אבטחה לזהות ולעצור אותם. יתר על כן, AtlasAgent תומך בפקודות הבאות: השג מידע על מערכת המחשב, השג נתונים מ- CnC ואחסן אותם בקובץ שצוין, השהה את התוכנית למשך פרק זמן באמצעות פונקציית Sleep, השג מידע על התהליך, הכנס קוד מעטפת לשרשור חדש של התהליך שצוין, יישם פונקציית פרמטר, הפעל קוד מעטפת ישירות או צור שרשור להפעלת קוד shell בתהליך זה, יציאה מהמחזור, הכנס קוד מעטפת או פקודה לשרשור בתהליך שצוין, צור mutex.
בעוד הדו"ח של NSFocus הוא הראשון המפרט את פעילות AtlasCross, עדיין מהווה קבוצת ההאקרים החדשה איום לא ידוע ברובו הפועל על בסיס מניעים לא ברורים והיקף מיקוד לא ברור. המיקוד הסלקטיבי של ההאקרים, סוסים טרויאנים מותאמים אישית ומטעני נוזקות, בשילוב עם העדפה של שיטות זיהום דיסקרטיות על פני יעילות, אפשרו להם לפעול ללא זיהוי למשך זמן לא מוגדר.
