Kampaň malwaru Silver Fox ValleyRAT
Útočník operující pod názvem Silver Fox spustil propracovanou operaci pod falešnou vlajkou, jejímž cílem je maskovat jeho aktivity jako aktivity ruské skupiny. Kampaň se zaměřuje na čínsky mluvící uživatele, včetně zaměstnanců západních organizací působících v Číně, a k doručování známého trojského koně pro vzdálený přístup se do značné míry spoléhá na manipulaci s vyhledávači a padělané instalační programy Microsoft Teams.
Obsah
V maskování ruského herce
Nedávná aktivita skupiny Silver Fox se točí kolem strategického pokusu oklamat analytiky napodobováním ruských hrozeb. Aby útočníci tuto iluzi posílili, vkládají prvky cyrilice do upravených komponent ValleyRAT a dokonce balí škodlivé soubory s ruskými konvencemi pojmenování. Toto úmyslné zavádějící přesměrování komplikuje atribuci a zároveň umožňuje skupině sledovat finančně a geopoliticky motivované cíle.
Otrava SEO a návnady s motivem Teams
Od listopadu 2025 provozuje Silver Fox kampaň zaměřenou na optimalizaci pro vyhledávače (SEO), jejímž cílem je nalákat oběti hledající Microsoft Teams. Na rozdíl od předchozích operací, které zneužívaly nástroje jako Chrome, Telegram, WPS Office a DeepSeek, se tato vlna zaměřuje výhradně na Teams.
Kompromitované výsledky vyhledávání přesměrují uživatele na podvodnou webovou stránku, která se vydává za legitimní stránku pro stahování Teams. Místo originálního softwaru oběti obdrží ZIP archiv s názvem „MSTчamsSetup.zip“ hostovaný na Alibaba Cloudu. Znaky cyrilice v názvu souboru posilují falešnou narativu.
Trojanizovaný instalační program a nenápadné nasazení
Uvnitř ZIP souboru se nachází Setup.exe, upravený instalační program Teams navržený tak, aby inicioval vícestupňovou kompromitaci. Po spuštění provádí kontroly prostředí, vyhledává binární soubory spojené s konkrétním bezpečnostním nástrojem a upravuje nastavení Microsoft Defenderu přidáním pravidel vyloučení. Také umístí upravený instalační program Microsoftu – „Verifier.exe“ do adresáře AppData\Local uživatele a spustí ho, aby udržel tok infekce.
Malware dále generuje několik pomocných souborů v uložištích AppData\Local a AppData\Roaming. Poté z těchto souborů načte konfigurační data a vloží škodlivou knihovnu DLL do souboru rundll32.exe, důvěryhodné součásti systému Windows, což malwaru umožňuje bezproblémové propojení s legitimními procesy.
Aktivace ValleyRAT (Winos 4.0)
Poslední fáze vede k nasazení ValleyRAT, derivátu Gh0st RAT. Po aktivaci umožňuje vzdálené provádění příkazů, trvalý dohled, krádež dat a plnou kontrolu nad systémem. Ačkoli jsou varianty Gh0st RAT běžně připisovány čínským kyberzločineckým skupinám, Silver Fox se zapojením ruských prvků snaží vinu přesměrovat.
Konečné cíle a dopad
Operace Silver Fox slouží jak finančním účelům, tak i účelům shromažďování zpravodajských informací. Skupina usiluje o zisk prostřednictvím podvodů, klamů a krádeží a zároveň shromažďuje citlivé informace, které mohou poskytnout geopolitickou výhodu. Oběti čelí okamžitým důsledkům:
- Krádež dat a únik důvěrných informací.
- Finanční ztráty způsobené podvodem nebo neoprávněnou činností.
- Dlouhodobé ohrožení interních systémů a sítí.
Proč na této falešné vlajkě záleží
Napodobováním zahraniční skupiny hrozeb si Silver Fox udržuje věrohodnou možnost popírání a funguje bez kontroly, která je obvykle namířena proti státem sponzorovaným subjektům. Tato sofistikovaná strategie úniku v kombinaci s vyvíjejícím se řetězcem infekcí zdůrazňuje potřebu zvýšené ostražitosti, posílené ochrany koncových bodů a neustálého monitorování, zejména u organizací působících v regionech, které jsou často cílem komplexních kybernetických hrozeb.
