Campanya de programari maliciós Silver Fox ValleyRAT

Un actor maliciós que opera sota el nom de Silver Fox ha llançat una elaborada operació de falsa bandera dissenyada per disfressar la seva activitat com la d'un grup rus. La campanya se centra en usuaris de parla xinesa, inclosos empleats d'organitzacions occidentals amb presència a la Xina, i depèn en gran mesura de la manipulació dels motors de cerca i d'instal·ladors falsos de Microsoft Teams per oferir un conegut troià d'accés remot.

Encaputxat com un actor rus

L'activitat recent de Silver Fox gira al voltant d'un intent estratègic d'enganyar els analistes imitant grups d'amenaces russos. Per reforçar aquesta il·lusió, els atacants incorporen elements ciríl·lics en components modificats de ValleyRAT i fins i tot empaqueten fitxers maliciosos amb convencions de nomenclatura d'estil rus. Aquesta desviació intencionada complica l'atribució alhora que permet al grup perseguir objectius motivats financerament i geopolíticament.

Enverinament SEO i esquers amb temàtica d’equips

Des del novembre del 2025, Silver Fox ha estat duent a terme una campanya d'enverinament per optimització de motors de cerca (SEO) dissenyada per atraure víctimes que busquen Microsoft Teams. A diferència d'operacions anteriors que abusaven d'eines com Chrome, Telegram, WPS Office i DeepSeek, aquesta onada se centra únicament en Teams.

Els resultats de cerca compromesos dirigeixen els usuaris a un lloc web fraudulent que es fa passar per una pàgina de descàrrega legítima de Teams. En lloc de programari genuí, les víctimes reben un arxiu ZIP anomenat "MSTчamsSetup.zip" allotjat a Alibaba Cloud. Els caràcters ciríl·lics del nom del fitxer reforcen la narrativa de falsa bandera.

Instal·lador troià i desplegament discret

Dins del fitxer ZIP hi ha Setup.exe, un instal·lador de Teams modificat dissenyat per iniciar un compromís en diverses etapes. En executar-se, realitza comprovacions d'entorn, busca binaris associats amb una eina de seguretat específica i altera la configuració del Microsoft Defender afegint regles d'exclusió. També col·loca un instal·lador de Microsoft manipulat, "Verifier.exe", al directori AppData\Local de l'usuari i l'inicia per mantenir el flux d'infecció.

El programari maliciós continua generant diversos fitxers auxiliars a AppData\Local i AppData\Roaming. A continuació, carrega dades de configuració d'aquests fitxers i injecta una DLL maliciosa a rundll32.exe, un component de confiança de Windows, cosa que permet que el programari maliciós es combini perfectament amb processos legítims.

Activació de ValleyRAT (Winos 4.0)

La fase final resulta en el desplegament de ValleyRAT, un derivat de Gh0st RAT. Un cop actiu, permet l'execució remota d'ordres, la vigilància persistent, el robatori de dades i el control total del sistema. Tot i que les variants de Gh0st RAT s'atribueixen habitualment a grups ciberdelinqüents xinesos, la inclusió d'elements russos per part de Silver Fox intenta redirigir la culpa.

Objectius finals i impacte

Les operacions de Silver Fox tenen finalitats tant financeres com de recopilació d'intel·ligència. El grup busca obtenir beneficis mitjançant fraus, estafes i robatoris, alhora que recopila informació sensible que pot proporcionar avantatge geopolític. Les víctimes s'enfronten a conseqüències immediates:

• Robatori de dades i exposició d'informació confidencial.
• Pèrdues econòmiques per frau o activitat no autoritzada.
• Compromís a llarg termini dels sistemes i xarxes interns.

Per què importa aquesta falsa bandera

Imitant un grup d'amenaces estranger, Silver Fox manté una negació plausible i opera sense l'escrutini que normalment es dirigeix a entitats patrocinades per l'estat. Aquesta sofisticada estratègia d'evasió, combinada amb una cadena d'infecció en evolució, subratlla la necessitat d'una major vigilància, defenses reforçades dels endpoints i una supervisió contínua, especialment per a les organitzacions que operen en regions freqüentment objectiu d'amenaces cibernètiques complexes.