کمپین بدافزار Silver Fox ValleyRAT

یک عامل تهدید تحت نام Silver Fox عملیات پرچم دروغین پیچیده‌ای را آغاز کرده است که برای پنهان کردن فعالیت خود به عنوان یک گروه روسی طراحی شده است. این کمپین بر کاربران چینی زبان، از جمله کارمندان سازمان‌های غربی با حضور در چین، تمرکز دارد و به شدت به دستکاری موتور جستجو و نصب‌کننده‌های جعلی Microsoft Teams برای ارائه یک تروجان دسترسی از راه دور شناخته شده متکی است.

در لباس یک بازیگر روس

فعالیت اخیر سیلور فاکس حول یک تلاش استراتژیک برای گمراه کردن تحلیلگران با تقلید از گروه‌های تهدید روسی می‌چرخد. برای تقویت این توهم، مهاجمان عناصر سیریلیک را در اجزای اصلاح‌شده ValleyRAT جاسازی می‌کنند و حتی فایل‌های مخرب را با قراردادهای نامگذاری به سبک روسی بسته‌بندی می‌کنند. این گمراه‌سازی عمدی، انتساب را پیچیده می‌کند و در عین حال به این گروه اجازه می‌دهد تا اهداف مالی و ژئوپلیتیکی را دنبال کند.

مسمومیت سئو و فریب‌های با تم تیمی

از نوامبر ۲۰۲۵، سیلور فاکس یک کمپین مسمومیت بهینه‌سازی موتور جستجو (SEO) را اجرا کرده است که برای فریب قربانیانی که به دنبال Microsoft Teams هستند، طراحی شده است. برخلاف عملیات‌های قبلی که از ابزارهایی مانند Chrome، Telegram، WPS Office و DeepSeek سوءاستفاده می‌کردند، این موج صرفاً بر Teams تمرکز دارد.

نتایج جستجوی آلوده، کاربران را به یک وب‌سایت جعلی هدایت می‌کند که خود را به عنوان یک صفحه دانلود قانونی Teams جا می‌زند. قربانیان به جای نرم‌افزار اصلی، یک فایل فشرده با نام 'MSTчamsSetup.zip' دریافت می‌کنند که در Alibaba Cloud میزبانی می‌شود. حروف سیریلیک در نام فایل، روایت پرچم دروغین را تقویت می‌کند.

نصب‌کننده‌ی آلوده به تروجان و استقرار مخفیانه

درون فایل زیپ، Setup.exe قرار دارد، یک نصب‌کننده‌ی دستکاری‌شده‌ی Teams که برای شروع یک نفوذ چندمرحله‌ای مهندسی شده است. پس از اجرا، بررسی‌های محیطی را انجام می‌دهد، فایل‌های باینری مرتبط با یک ابزار امنیتی خاص را اسکن می‌کند و با اضافه کردن قوانین حذف، تنظیمات Microsoft Defender را دستکاری می‌کند. همچنین یک نصب‌کننده‌ی دستکاری‌شده‌ی مایکروسافت - 'Verifier.exe' - را در دایرکتوری AppData\Local کاربر قرار می‌دهد و آن را برای حفظ جریان آلودگی اجرا می‌کند.

این بدافزار با تولید چندین فایل کمکی در AppData\Local و AppData\Roaming ادامه می‌دهد. سپس داده‌های پیکربندی را از این فایل‌ها بارگیری می‌کند و یک DLL مخرب را به rundll32.exe، یک جزء قابل اعتماد ویندوز، تزریق می‌کند و به بدافزار اجازه می‌دهد تا به طور یکپارچه با فرآیندهای قانونی ترکیب شود.

فعال‌سازی ValleyRAT (وینوس ۴.۰)

مرحله نهایی منجر به استقرار ValleyRAT، مشتقی از Gh0st RAT، می‌شود. پس از فعال شدن، امکان اجرای دستورات از راه دور، نظارت مداوم، سرقت داده‌ها و کنترل کامل سیستم را فراهم می‌کند. اگرچه انواع Gh0st RAT معمولاً به گروه‌های مجرمان سایبری چینی نسبت داده می‌شوند، اما گنجاندن عناصر روسی در Silver Fox تلاشی برای تغییر مسیر سرزنش است.

اهداف نهایی و تأثیر

عملیات سیلور فاکس هم برای اهداف مالی و هم برای جمع‌آوری اطلاعات انجام می‌شود. این گروه از طریق کلاهبرداری، حقه بازی و سرقت به دنبال سود است، در عین حال اطلاعات حساسی را که ممکن است اهرم ژئوپلیتیکی فراهم کند، جمع‌آوری می‌کند. قربانیان با عواقب فوری روبرو می‌شوند:

• سرقت داده‌ها و افشای اطلاعات محرمانه.
• زیان‌های مالی ناشی از کلاهبرداری یا فعالیت‌های غیرمجاز.
• به خطر افتادن طولانی مدت سیستم‌ها و شبکه‌های داخلی.

چرا این عملیات پرچم دروغین اهمیت دارد؟

سیلور فاکس با تقلید از یک گروه تهدید خارجی، قابلیت انکار قابل قبولی را حفظ می‌کند و بدون بررسی دقیقی که معمولاً متوجه نهادهای تحت حمایت دولت است، فعالیت می‌کند. این استراتژی پیچیده‌ی گریز، همراه با یک زنجیره‌ی آلودگی در حال تکامل، بر نیاز به هوشیاری بیشتر، تقویت دفاع‌های نقطه‌ی پایانی و نظارت مستمر، به ویژه برای سازمان‌هایی که در مناطقی فعالیت می‌کنند که اغلب هدف تهدیدات سایبری پیچیده قرار می‌گیرند، تأکید می‌کند.