حملة البرمجيات الخبيثة Silver Fox ValleyRAT

أطلق مُهدّد إلكتروني يعمل باسم "الثعلب الفضي" عمليةً مُعقدةً مُصممةً لإخفاء نشاطه على أنه نشاطٌ لمجموعةٍ روسية. تُركّز الحملة على المستخدمين الناطقين بالصينية، بمن فيهم موظفو المؤسسات الغربية الموجودة في الصين، وتعتمد بشكلٍ كبير على التلاعب بمحركات البحث ومُثبّتات مايكروسوفت تيمز المُقلّدة لإيصال فيروس حصان طروادة معروفٍ للوصول عن بُعد.

متخفيًا في هيئة ممثل روسي

يتمحور نشاط "سيلفر فوكس" الأخير حول محاولة استراتيجية لتضليل المحللين بمحاكاة جماعات التهديد الروسية. ولتعزيز هذا الوهم، يُدمج المهاجمون عناصر سيريلية في مكونات ValleyRAT مُعدّلة، بل ويُغلّفون ملفات خبيثة بأسماء روسية. يُعقّد هذا التضليل المتعمد عملية الإسناد، ويُتيح للمجموعة السعي وراء أهداف ذات دوافع مالية وجيوسياسية.

التسمم بتحسين محركات البحث والإغراءات المتعلقة بالفرق

منذ نوفمبر 2025، تُدير شركة Silver Fox حملةً لتشويه محركات البحث (SEO) مُصممة خصيصًا لجذب الضحايا الباحثين عن Microsoft Teams. بخلاف العمليات السابقة التي أساءت استخدام أدوات مثل Chrome وTelegram وWPS Office وDeepSeek، تُركز هذه الموجة حصريًا على Teams.

تُوجِّه نتائج البحث المُخترَقة المستخدمين إلى موقع ويب احتيالي ينتحل صفة صفحة تنزيل رسمية لبرنامج Teams. وبدلًا من البرامج الأصلية، يتلقى الضحايا ملف ZIP باسم "MSTчamsSetup.zip" مُستضاف على Alibaba Cloud. وتُعزز الأحرف السيريلية في اسم الملف خدعة الاحتيال.

مُثبِّت مُصاب بأحصنة طروادة ونشر خفي

يحتوي ملف ZIP على ملف Setup.exe، وهو مُثبّت Teams مُعدّل مُصمّم لبدء اختراق متعدد المراحل. عند تشغيله، يُجري فحصًا للبيئة، ويبحث عن الملفات الثنائية المرتبطة بأداة أمان مُحدّدة، ويُغيّر إعدادات Microsoft Defender بإضافة قواعد استبعاد. كما يُرسِل مُثبّت Microsoft مُعدّل - "Verifier.exe" - إلى مجلد AppData\Local الخاص بالمستخدم، ويُشغّله للحفاظ على مسار العدوى.

يستمر البرنامج الخبيث بإنشاء عدة ملفات مساعدة عبر AppData\Local وAppData\Roaming. ثم يُحمّل بيانات التكوين من هذه الملفات ويحقن ملف DLL خبيثًا في rundll32.exe، وهو مكون موثوق في نظام Windows، مما يسمح للبرنامج الخبيث بالتداخل بسلاسة مع العمليات الشرعية.

تفعيل ValleyRAT (Winos 4.0)

تُسفر المرحلة النهائية عن نشر ValleyRAT، وهو مُشتق من Gh0st RAT. بمجرد تفعيله، يُمكّن من تنفيذ الأوامر عن بُعد، والمراقبة المُستمرة، وسرقة البيانات، والتحكم الكامل في النظام. على الرغم من أن مُتغيرات Gh0st RAT تُنسب عادةً إلى جماعات الجريمة الإلكترونية الصينية، إلا أن إدراج Silver Fox لعناصر روسية يُحاول إعادة توجيه اللوم.

الأهداف النهائية والتأثير

تخدم عمليات "الثعلب الفضي" أغراضًا ماليةً واستخباراتيةً. تسعى المجموعة إلى الربح من خلال الاحتيال والنصب والسرقة، بالإضافة إلى جمع معلومات حساسة قد تُوفر نفوذًا جيوسياسيًا. يواجه الضحايا عواقب فورية:

• سرقة البيانات وكشف المعلومات السرية.
• الخسائر المالية الناجمة عن الاحتيال أو النشاط غير المصرح به.
• المساس بالأنظمة والشبكات الداخلية على المدى الطويل.

لماذا هذا العلم الزائف مهم؟

بتقليدها جماعة تهديد أجنبية، تحافظ شركة سيلفر فوكس على سياسة الإنكار المعقول وتعمل دون التدقيق المُوجه عادةً للكيانات التي ترعاها الدول. تُؤكد هذه الاستراتيجية المُعقدة للتهرب، إلى جانب سلسلة العدوى المتطورة، على الحاجة إلى يقظة مُشددة، وتعزيز دفاعات نقاط النهاية، والمراقبة المُستمرة، خاصةً للمؤسسات العاملة في المناطق التي تُستهدف بشكل متكرر بتهديدات إلكترونية مُعقدة.