Silver Fox ValleyRAT -haittaohjelmakampanja

Silver Fox -nimellä toimiva uhkatoimija on käynnistänyt monimutkaisen valehyökkäysoperaation, jonka tarkoituksena on naamioida toimintansa venäläisen ryhmän toiminnaksi. Kampanja keskittyy kiinankielisiin käyttäjiin, mukaan lukien Kiinassa toimivien länsimaisten organisaatioiden työntekijöihin, ja se nojaa vahvasti hakukoneiden manipulointiin ja väärennettyihin Microsoft Teams -asennusohjelmiin tunnetun etäkäyttötroijalaisen levittämiseksi.

Verhoutuneena venäläiseksi näyttelijäksi

Silver Foxin viimeaikainen toiminta keskittyy strategiseen yritykseen johtaa analyytikoita harhaan matkimalla venäläisiä uhkaryhmiä. Tämän illuusion vahvistamiseksi hyökkääjät upottavat kyrillisiä elementtejä muokattuihin ValleyRAT-komponentteihin ja jopa pakkaavat haitallisia tiedostoja venäläistyylisillä nimeämiskäytännöillä. Tämä tahallinen harhaanjohtaminen vaikeuttaa tekijänoikeuksien tunnistamista ja antaa ryhmälle mahdollisuuden tavoitella taloudellisesti ja geopoliittisesti motivoituneita tavoitteita.

SEO-myrkytys ja tiimiteemaiset houkuttimet

Marraskuusta 2025 lähtien Silver Fox on pyörittänyt hakukoneoptimoinnin (SEO) myrkytyskampanjaa, joka on räätälöity houkuttelemaan uhreja etsimään Microsoft Teamsia. Toisin kuin aiemmat operaatiot, joissa väärinkäytettiin työkaluja, kuten Chromea, Telegramia, WPS Officea ja DeepSeekiä, tämä aalto keskittyy yksinomaan Teamsiin.

Vaarantuneet hakutulokset ohjaavat käyttäjät huijaussivustolle, joka tekeytyy lailliseksi Teamsin lataussivuksi. Aidon ohjelmiston sijaan uhrit saavat Alibaba Cloudissa sijaitsevan ZIP-arkiston nimeltä 'MSTчamsSetup.zip'. Tiedostonimen kyrilliset merkit vahvistavat vääriä väitteitä.

Troijalaisen asennusohjelma ja huomaamaton käyttöönotto

ZIP-tiedoston sisällä on Setup.exe, muokattu Teams-asennusohjelma, joka on suunniteltu käynnistämään monivaiheinen tietoturvahyökkäys. Suorituksen jälkeen se suorittaa ympäristötarkistuksia, etsii tiettyyn tietoturvatyökaluun liittyviä binäärejä ja muokkaa Microsoft Defenderin asetuksia lisäämällä niihin poissulkemissääntöjä. Se myös pudottaa manipuloidun Microsoft-asennusohjelman "Verifier.exe" käyttäjän AppData\Local-hakemistoon ja käynnistää sen tartuntavirran ylläpitämiseksi.

Haittaohjelma jatkaa luomalla useita aputiedostoja AppData\Local- ja AppData\Roaming-kansioihin. Sitten se lataa näistä tiedostoista määritystiedot ja lisää haitallisen DLL-tiedoston luotettavaan Windows-komponenttiin rundll32.exe, jolloin haittaohjelma voi sulautua saumattomasti laillisiin prosesseihin.

ValleyRATin aktivointi (Winos 4.0)

Viimeinen vaihe johtaa ValleyRATin, Gh0st RATin johdannaisen, käyttöönottoon. Kun se on aktiivinen, se mahdollistaa komentojen etäsuorittamisen, jatkuvan valvonnan, tietovarkaudet ja täyden järjestelmän hallinnan. Vaikka Gh0st RAT -variantteja pidetään yleisesti kiinalaisten kyberrikollisryhmien tekeminä, Silver Foxin venäläisten elementtien sisällyttäminen pyrkii siirtämään syyllisyyttä muualle.

Lopputavoitteet ja vaikutus

Silver Foxin toiminta palvelee sekä taloudellisia että tiedustelutarkoitusta. Ryhmä tavoittelee voittoa petosten, huijausten ja varkauksien avulla ja kerää samalla arkaluonteisia tietoja, jotka voivat tarjota geopoliittista vipuvaikutusta. Uhrit kohtaavat välittömiä seurauksia:

• Tietovarkaudet ja luottamuksellisten tietojen paljastuminen.
• Taloudelliset tappiot petoksesta tai luvattomasta toiminnasta.
• Sisäisten järjestelmien ja verkkojen pitkäaikainen vaarantuminen.

Miksi tämä väärä lippu on tärkeä

Jäljittelemällä ulkomaista uhkaryhmää Silver Fox ylläpitää uskottavaa kiistämiskykyä ja toimii ilman valtion tukemiin yksiköihin yleensä kohdistuvaa valvontaa. Tämä hienostunut väistöstrategia yhdistettynä kehittyvään tartuntaketjuun korostaa lisääntyneen valppauden, vahvistettujen päätepisteiden puolustusten ja jatkuvan valvonnan tarvetta, erityisesti organisaatioille, jotka toimivat alueilla, joihin monimutkaiset kyberuhkat usein kohdistuvat.