সিলভার ফক্স ভ্যালিআরএটি ম্যালওয়্যার ক্যাম্পেইন

সিলভার ফক্স নামে একটি হুমকিদাতা সংস্থা তাদের কার্যকলাপকে একটি রাশিয়ান গোষ্ঠীর মতো ছদ্মবেশে ছদ্মবেশে একটি বিস্তৃত মিথ্যা পতাকা অভিযান শুরু করেছে। এই প্রচারণাটি চীনা ভাষাভাষী ব্যবহারকারীদের উপর দৃষ্টি নিবদ্ধ করে, যার মধ্যে চীনে উপস্থিতি থাকা পশ্চিমা সংস্থাগুলির কর্মচারীও রয়েছে এবং একটি সুপরিচিত রিমোট অ্যাক্সেস ট্রোজান সরবরাহ করার জন্য সার্চ ইঞ্জিন ম্যানিপুলেশন এবং নকল মাইক্রোসফ্ট টিমস ইনস্টলারের উপর ব্যাপকভাবে নির্ভর করে।

রাশিয়ান অভিনেতা হিসেবে পোশাক পরেছেন

সিলভার ফক্সের সাম্প্রতিক কার্যকলাপ রাশিয়ান হুমকি গোষ্ঠীগুলিকে অনুকরণ করে বিশ্লেষকদের বিভ্রান্ত করার একটি কৌশলগত প্রচেষ্টাকে ঘিরে আবর্তিত হয়। এই বিভ্রমকে আরও শক্তিশালী করার জন্য, আক্রমণকারীরা পরিবর্তিত ভ্যালিআরএটি উপাদানগুলিতে সিরিলিক উপাদানগুলি এম্বেড করে এবং এমনকি রাশিয়ান-শৈলীর নামকরণের রীতিনীতি সহ ক্ষতিকারক ফাইলগুলি প্যাকেজ করে। এই ইচ্ছাকৃত ভুল নির্দেশনাটি গোষ্ঠীটিকে আর্থিক এবং ভূ-রাজনৈতিকভাবে উদ্দেশ্যপ্রণোদিত লক্ষ্যগুলি অনুসরণ করার অনুমতি দেওয়ার সাথে সাথে অ্যাট্রিবিউশনকে জটিল করে তোলে।

SEO বিষক্রিয়া এবং টিম-থিমযুক্ত প্রলোভন

২০২৫ সালের নভেম্বর থেকে, সিলভার ফক্স মাইক্রোসফ্ট টিম অনুসন্ধানকারীদের প্রলুব্ধ করার জন্য একটি সার্চ ইঞ্জিন অপ্টিমাইজেশন (SEO) বিষক্রিয়া প্রচারণা চালাচ্ছে। ক্রোম, টেলিগ্রাম, WPS অফিস এবং ডিপসিকের মতো সরঞ্জামগুলির অপব্যবহারকারী পূর্ববর্তী অপারেশনগুলির বিপরীতে, এই তরঙ্গটি কেবল টিমগুলির উপর দৃষ্টি নিবদ্ধ করে।

ঝুঁকিপূর্ণ অনুসন্ধান ফলাফল ব্যবহারকারীদের একটি বৈধ টিমস ডাউনলোড পৃষ্ঠা হিসেবে পরিচয় দিয়ে একটি প্রতারণামূলক ওয়েবসাইটের দিকে পরিচালিত করে। আসল সফ্টওয়্যারের পরিবর্তে, ভুক্তভোগীরা আলিবাবা ক্লাউডে হোস্ট করা 'MSTchamsSetup.zip' নামে একটি জিপ আর্কাইভ পায়। ফাইলের নামের সিরিলিক অক্ষরগুলি মিথ্যা-পতাকা বর্ণনাকে শক্তিশালী করে।

ট্রোজানাইজড ইনস্টলার এবং স্টিলথি ডিপ্লয়মেন্ট

জিপ ফাইলের ভেতরে Setup.exe থাকে, যা একটি বহু-পর্যায়ের আপস শুরু করার জন্য তৈরি করা একটি বিকৃত টিমস ইনস্টলার। কার্যকর করার পরে, এটি পরিবেশ পরীক্ষা পরিচালনা করে, একটি নির্দিষ্ট সুরক্ষা সরঞ্জামের সাথে সম্পর্কিত বাইনারিগুলির জন্য স্ক্যান করে এবং এক্সক্লুশন নিয়ম যুক্ত করে মাইক্রোসফ্ট ডিফেন্ডার সেটিংসে হস্তক্ষেপ করে। এটি ব্যবহারকারীর AppData\Local ডিরেক্টরিতে একটি ম্যানিপুলেট করা মাইক্রোসফ্ট ইনস্টলার - 'Verifier.exe'ও ফেলে দেয় এবং সংক্রমণ প্রবাহ বজায় রাখার জন্য এটি চালু করে।

ম্যালওয়্যারটি AppData\Local এবং AppData\Roaming জুড়ে বেশ কয়েকটি সহায়ক ফাইল তৈরি করে। এরপর এটি এই ফাইলগুলি থেকে কনফিগারেশন ডেটা লোড করে এবং rundll32.exe, একটি বিশ্বস্ত উইন্ডোজ উপাদান, এর মধ্যে একটি ক্ষতিকারক DLL ইনজেক্ট করে, যা ম্যালওয়্যারটিকে বৈধ প্রক্রিয়াগুলির সাথে নির্বিঘ্নে মিশ্রিত করতে দেয়।

ValleyRAT সক্রিয়করণ (Winos 4.0)

চূড়ান্ত পর্যায়ের ফলাফল হল ValleyRAT মোতায়েনের, যা Gh0st RAT এর একটি ডেরিভেটিভ। একবার সক্রিয় হয়ে গেলে, এটি দূরবর্তীভাবে কমান্ড কার্যকর করা, ক্রমাগত নজরদারি, ডেটা চুরি এবং সম্পূর্ণ সিস্টেম নিয়ন্ত্রণ সক্ষম করে। যদিও Gh0st RAT রূপগুলি সাধারণত চীনা সাইবার অপরাধী গোষ্ঠীগুলির সাথে সম্পর্কিত বলে মনে করা হয়, সিলভার ফক্সের রাশিয়ান উপাদানগুলিকে অন্তর্ভুক্ত করার মাধ্যমে দোষ পুনর্নির্দেশ করার চেষ্টা করা হয়।

চূড়ান্ত লক্ষ্য এবং প্রভাব

সিলভার ফক্সের কার্যক্রম আর্থিক এবং গোয়েন্দা তথ্য সংগ্রহ উভয় উদ্দেশ্যেই কাজ করে। এই গোষ্ঠীটি জালিয়াতি, কেলেঙ্কারী এবং চুরির মাধ্যমে মুনাফা অর্জন করে, একই সাথে এমন সংবেদনশীল তথ্য সংগ্রহ করে যা ভূ-রাজনৈতিক সুবিধা প্রদান করতে পারে। ভুক্তভোগীরা তাৎক্ষণিক পরিণতির মুখোমুখি হন:

• তথ্য চুরি এবং গোপন তথ্য প্রকাশ।
• জালিয়াতি বা অননুমোদিত কার্যকলাপের ফলে আর্থিক ক্ষতি।
• অভ্যন্তরীণ সিস্টেম এবং নেটওয়ার্কের দীর্ঘমেয়াদী আপস।

কেন এই মিথ্যা পতাকা গুরুত্বপূর্ণ

একটি বিদেশী হুমকি গোষ্ঠীর অনুকরণ করে, সিলভার ফক্স সম্ভাব্য অস্বীকারযোগ্যতা বজায় রাখে এবং সাধারণত রাষ্ট্র-স্পন্সরিত সংস্থাগুলির উপর পরিচালিত তদন্ত ছাড়াই কাজ করে। এই পরিশীলিত ফাঁকি কৌশল, একটি ক্রমবর্ধমান সংক্রমণ শৃঙ্খলের সাথে মিলিত, বর্ধিত সতর্কতা, শক্তিশালী এন্ডপয়েন্ট প্রতিরক্ষা এবং ক্রমাগত পর্যবেক্ষণের প্রয়োজনীয়তার উপর জোর দেয়, বিশেষ করে জটিল সাইবার হুমকির দ্বারা প্রায়শই লক্ষ্যবস্তু করা অঞ্চলে পরিচালিত সংস্থাগুলির জন্য।