Silver Fox Valley RAT Malware-kampagne

En trusselsaktør, der opererer under navnet Silver Fox, har iværksat en omfattende falsk-flag-operation, der har til formål at skjule sin aktivitet som en russisk gruppes. Kampagnen fokuserer på kinesisktalende brugere, herunder ansatte i vestlige organisationer med tilstedeværelse i Kina, og er i høj grad afhængig af søgemaskinemanipulation og forfalskede Microsoft Teams-installationsprogrammer for at levere en velkendt fjernadgangstrojan.

Klædt ud som en russisk skuespiller

Silver Fox' nylige aktivitet drejer sig om et strategisk forsøg på at vildlede analytikere ved at efterligne russiske trusselsgrupper. For at forstærke denne illusion integrerer angriberne kyrilliske elementer i modificerede ValleyRAT-komponenter og pakker endda skadelige filer med russiskinspirerede navngivningskonventioner. Denne bevidste vildledning komplicerer tilskrivning, samtidig med at den giver gruppen mulighed for at forfølge økonomisk og geopolitisk motiverede mål.

SEO-forgiftning og lokkemad med teams som tema

Siden november 2025 har Silver Fox kørt en søgemaskineoptimeringskampagne (SEO) skræddersyet til at lokke ofre, der søger efter Microsoft Teams. I modsætning til tidligere operationer, der misbrugte værktøjer som Chrome, Telegram, WPS Office og DeepSeek, fokuserer denne bølge udelukkende på Teams.

Kompromitterede søgeresultater leder brugerne til et falsk websted, der udgiver sig for at være en legitim Teams-downloadside. I stedet for ægte software modtager ofrene et ZIP-arkiv med navnet 'MSTчamsSetup.zip', der hostes på Alibaba Cloud. De kyrilliske tegn i filnavnet forstærker den falske flag-fortælling.

Trojaniseret installationsprogram og skjult implementering

Inde i ZIP-filen ligger Setup.exe, et manipuleret Teams-installationsprogram, der er udviklet til at starte en flertrinskompromittering. Ved udførelse udfører det miljøkontroller, scanner for binære filer, der er knyttet til et specifikt sikkerhedsværktøj, og manipulerer med Microsoft Defender-indstillinger ved at tilføje udelukkelsesregler. Det placerer også et manipuleret Microsoft-installationsprogram - 'Verifier.exe' - i brugerens AppData\Local-mappe og starter det for at opretholde infektionsflowet.

Malwaren fortsætter ved at generere adskillige hjælpefiler på tværs af AppData\Local og AppData\Roaming. Den indlæser derefter konfigurationsdata fra disse filer og injicerer en skadelig DLL i rundll32.exe, en betroet Windows-komponent, hvilket gør det muligt for malwaren at integreres problemfrit med legitime processer.

Aktivering af ValleyRAT (Winos 4.0)

Den sidste fase resulterer i implementeringen af ValleyRAT, en afledning af Gh0st RAT. Når den er aktiv, muliggør den fjernudførelse af kommandoer, vedvarende overvågning, datatyveri og fuld systemkontrol. Selvom Gh0st RAT-varianter ofte tilskrives kinesiske cyberkriminelle grupper, forsøger Silver Fox' inkludering af russiske elementer at omdirigere skylden.

Slutmål og effekt

Silver Fox' aktiviteter tjener både økonomiske formål og efterretningsindsamling. Gruppen søger profit gennem bedrageri, svindel og tyveri, samtidig med at den indsamler følsomme oplysninger, der kan give geopolitisk indflydelse. Ofrene står over for umiddelbare konsekvenser:

• Datatyveri og eksponering af fortrolige oplysninger.
• Økonomiske tab som følge af bedrageri eller uautoriseret aktivitet.
• Langvarig kompromittering af interne systemer og netværk.

Hvorfor dette falske flag er vigtigt

Ved at imitere en udenlandsk trusselgruppe opretholder Silver Fox plausibel benægtelse og opererer uden den kontrol, der normalt rettes mod statsstøttede enheder. Denne sofistikerede undvigelsesstrategi, kombineret med en udviklende infektionskæde, understreger behovet for øget årvågenhed, styrket endpoint-forsvar og løbende overvågning, især for organisationer, der opererer i regioner, der ofte er mål for komplekse cybertrusler.