קמפיין תוכנות זדוניות של Silver Fox Valley RAT

גורם איום הפועל תחת השם Silver Fox השיק מבצע דגל כוזב מורכב שנועד להסוות את פעילותו כפעילות של קבוצה רוסית. הקמפיין מתמקד במשתמשים דוברי סינית, כולל עובדים של ארגונים מערביים בעלי נוכחות בסין, ומסתמך במידה רבה על מניפולציה של מנועי חיפוש ומתקיני Microsoft Teams מזויפים כדי לספק סוס טרויאני גישה מרחוק ידוע.

במסווה של שחקן רוסי

הפעילות האחרונה של Silver Fox סובבת סביב ניסיון אסטרטגי להטעות אנליסטים על ידי חיקוי קבוצות איום רוסיות. כדי לחזק אשליה זו, התוקפים משלבים אלמנטים קיריליים ברכיבי ValleyRAT שעברו שינוי ואף אורזים קבצים זדוניים עם מוסכמות מתן שמות בסגנון רוסי. הטעיה מכוונת זו מסבכת את הייחוס תוך שהיא מאפשרת לקבוצה לשאוף למטרות בעלות מוטיבציה כלכלית וגיאופוליטית.

הרעלת SEO ופיתיונות בנושא צוותים

מאז נובמבר 2025, סילבר פוקס מנהלת קמפיין הרעלת SEO (קידום אתרים) המותאם לפתות קורבנות המחפשים את Microsoft Teams. בניגוד למבצעים קודמים שניצלו לרעה כלים כמו Chrome, Telegram, WPS Office ו-DeepSeek, גל זה מתמקד אך ורק ב-Teams.

תוצאות חיפוש שנפגעו מפנות משתמשים לאתר אינטרנט הונאה המתחזה לדף הורדה לגיטימי של Teams. במקום תוכנה מקורית, הקורבנות מקבלים ארכיון ZIP בשם 'MSTчamsSetup.zip' המתארח ב-Alibaba Cloud. התווים הקיריליים בשם הקובץ מחזקים את הנרטיב של דגל כוזב.

מתקין טרויאני ופריסה חשאית

בתוך קובץ ה-ZIP נמצא Setup.exe, מתקין מנוצל של Teams שתוכנן ליזום פגיעה רב-שלבית. לאחר ההפעלה, הוא מבצע בדיקות סביבה, סורק קבצים בינאריים הקשורים לכלי אבטחה ספציפי, ומערער את הגדרות Microsoft Defender על ידי הוספת כללי אי-הכללה. הוא גם משליך מתקין מנוצל של Microsoft - 'Verifier.exe', לספריית AppData\Local של המשתמש ומפעיל אותו כדי לשמור על זרימת ההדבקה.

התוכנה הזדונית ממשיכה לייצר מספר קבצי עזר ב-AppData\Local וב-AppData\Roaming. לאחר מכן היא טוענת נתוני תצורה מקבצים אלה ומזריקה קובץ DLL זדוני לתוך rundll32.exe, רכיב Windows מהימן, מה שמאפשר לתוכנה הזדונית להשתלב בצורה חלקה עם תהליכים לגיטימיים.

הפעלת ValleyRAT (Winos 4.0)

השלב הסופי מביא לפריסת ValleyRAT, נגזרת של Gh0st RAT. לאחר פעילותו, הוא מאפשר ביצוע מרחוק של פקודות, מעקב מתמשך, גניבת נתונים ושליטה מלאה במערכת. למרות שגרסאות Gh0st RAT מיוחסות בדרך כלל לקבוצות פושעי סייבר סיניים, הכללת גורמים רוסים על ידי Silver Fox מנסה להסיט את האשמה.

מטרות סופיות והשפעה

פעילותה של סילבר פוקס משרתת הן מטרות פיננסיות והן מטרות איסוף מודיעין. הקבוצה רודפת אחר רווחים באמצעות הונאה, הונאות וגניבה, תוך איסוף מידע רגיש שעשוי לספק יתרון גיאופוליטי. הקורבנות עומדים בפני השלכות מיידיות:

• גניבת נתונים וחשיפת מידע סודי.
• הפסדים כספיים כתוצאה מהונאה או פעילות בלתי מורשית.
• פגיעה ארוכת טווח במערכות ורשתות פנימיות.

למה דגל השקר הזה חשוב

על ידי חיקוי של קבוצת איום זרה, Silver Fox שומרת על יכולת הכחשה סבירה ופועלת ללא הבדיקה המופנית בדרך כלל כלפי גופים בחסות מדינה. אסטרטגיית התחמקות מתוחכמת זו, בשילוב עם שרשרת הדבקה מתפתחת, מדגישה את הצורך בערנות מוגברת, הגנות חיזוקות של נקודות הקצה וניטור מתמשך, במיוחד עבור ארגונים הפועלים באזורים הממוקדים לעתים קרובות באיומי סייבר מורכבים.