Кампания за зловреден софтуер Silver Fox ValleyRAT
Злоумишлена група, действаща под името Silver Fox, е стартирала сложна операция под фалшив флаг, предназначена да прикрие дейността си като тази на руска група. Кампанията се фокусира върху китайскоговорящи потребители, включително служители на западни организации с присъствие в Китай, и разчита до голяма степен на манипулация на търсачките и фалшиви инсталатори на Microsoft Teams, за да достави добре познат троянски кон за отдалечен достъп.
Съдържание
Прикрит като руски актьор
Последните действия на Silver Fox се въртят около стратегически опит за подвеждане на анализаторите чрез имитиране на руски хакерски групи. За да подсилят тази илюзия, нападателите вграждат кирилически елементи в модифицирани компоненти на ValleyRAT и дори пакетират злонамерени файлове с руски стилизирани конвенции за именуване. Това умишлено подвеждащо насочване усложнява атрибуцията, като същевременно позволява на групата да преследва финансово и геополитически мотивирани цели.
SEO отравяне и примамки, свързани с Teams
От ноември 2025 г. Silver Fox провежда кампания за отравяне на оптимизацията за търсачки (SEO), насочена към примамване на жертви, търсещи Microsoft Teams. За разлика от предишни операции, които злоупотребяваха с инструменти като Chrome, Telegram, WPS Office и DeepSeek, тази вълна се фокусира единствено върху Teams.
Компрометираните резултати от търсенето насочват потребителите към измамен уебсайт, представящ се за легитимна страница за изтегляне на Teams. Вместо оригинален софтуер, жертвите получават ZIP архив с име „MSTчamsSetup.zip“, хостван в Alibaba Cloud. Кирилицата в името на файла засилва наратива за фалшив флаг.
Троянски инсталатор и скрито внедряване
В ZIP файла се намира Setup.exe, модифициран инсталатор на Teams, проектиран да инициира многоетапно компрометиране. След изпълнението си той извършва проверки на средата, сканира за двоични файлове, свързани с конкретен инструмент за сигурност, и променя настройките на Microsoft Defender, като добавя правила за изключване. Също така, той поставя манипулиран инсталатор на Microsoft - „Verifier.exe“, в директорията AppData\Local на потребителя и го стартира, за да поддържа потока от инфекция.
Зловредният софтуер продължава, като генерира няколко помощни файла в AppData\Local и AppData\Roaming. След това зарежда конфигурационни данни от тези файлове и инжектира злонамерен DLL файл в rundll32.exe, надежден компонент на Windows, което позволява на зловредния софтуер да се слее безпроблемно с легитимни процеси.
Активиране на ValleyRAT (Winos 4.0)
Последният етап води до внедряването на ValleyRAT, производно на Gh0st RAT. След като бъде активен, той позволява дистанционно изпълнение на команди, постоянно наблюдение, кражба на данни и пълен контрол над системата. Въпреки че вариантите на Gh0st RAT обикновено се приписват на китайски киберпрестъпни групировки, включването на руски елементи от Silver Fox се опитва да пренасочи вината.
Крайни цели и въздействие
Операциите на Silver Fox служат както за финансови цели, така и за събиране на разузнавателна информация. Групата преследва печалба чрез измами, мошеничества и кражби, като същевременно събира чувствителна информация, която може да осигури геополитически лост. Жертвите са изправени пред незабавни последици:
- Кражба на данни и разкриване на поверителна информация.
- Финансови загуби от измама или неоторизирана дейност.
- Дългосрочно компрометиране на вътрешни системи и мрежи.
Защо този фалшив флаг има значение
Като имитира чуждестранна киберзаплаха, Silver Fox поддържа правдоподобна възможност за отричане и действа без контрола, обикновено насочен към спонсорирани от държавата организации. Тази сложна стратегия за избягване, съчетана с развиваща се верига от инфекции, подчертава необходимостта от повишена бдителност, засилена защита на крайните точки и непрекъснато наблюдение, особено за организации, работещи в региони, често обект на сложни киберзаплахи.
