सिल्वर फॉक्स वैलीRAT मैलवेयर अभियान

सिल्वर फॉक्स नाम से सक्रिय एक ख़तरा पैदा करने वाले ने अपनी गतिविधियों को एक रूसी समूह के रूप में छिपाने के लिए एक विस्तृत झूठा अभियान शुरू किया है। यह अभियान चीनी भाषी उपयोगकर्ताओं पर केंद्रित है, जिनमें चीन में मौजूद पश्चिमी संगठनों के कर्मचारी भी शामिल हैं, और एक प्रसिद्ध रिमोट एक्सेस ट्रोजन को अंजाम देने के लिए सर्च इंजन में हेराफेरी और नकली माइक्रोसॉफ्ट टीम्स इंस्टॉलर पर बहुत अधिक निर्भर करता है।

एक रूसी अभिनेता के रूप में प्रच्छन्न

सिल्वर फॉक्स की हालिया गतिविधि रूसी ख़तरा समूहों की नकल करके विश्लेषकों को गुमराह करने की एक रणनीतिक कोशिश के इर्द-गिर्द घूमती है। इस भ्रम को और मज़बूत करने के लिए, हमलावर संशोधित वैलीआरएटी घटकों में सिरिलिक तत्वों को शामिल करते हैं और यहाँ तक कि दुर्भावनापूर्ण फ़ाइलों को रूसी शैली के नामकरण के साथ पैकेज करते हैं। यह जानबूझकर किया गया गलत निर्देश, ज़िम्मेदारी तय करने को जटिल बनाता है और साथ ही समूह को आर्थिक और भू-राजनीतिक रूप से प्रेरित उद्देश्यों को पूरा करने का मौका देता है।

एसईओ विषाक्तता और टीम-थीम वाले प्रलोभन

नवंबर 2025 से, सिल्वर फ़ॉक्स एक सर्च इंजन ऑप्टिमाइज़ेशन (SEO) पॉइज़निंग अभियान चला रहा है, जो माइक्रोसॉफ्ट टीम्स की खोज करने वाले पीड़ितों को लुभाने के लिए बनाया गया है। क्रोम, टेलीग्राम, डब्ल्यूपीएस ऑफिस और डीपसीक जैसे टूल्स का दुरुपयोग करने वाले पिछले अभियानों के विपरीत, यह लहर पूरी तरह से टीम्स पर केंद्रित है।

छेड़छाड़ किए गए खोज परिणाम उपयोगकर्ताओं को एक फर्जी वेबसाइट पर ले जाते हैं जो एक वैध टीम्स डाउनलोड पेज होने का दिखावा करती है। असली सॉफ़्टवेयर के बजाय, पीड़ितों को अलीबाबा क्लाउड पर होस्ट किए गए 'MSTчamsSetup.zip' नाम का एक ज़िप संग्रह प्राप्त होता है। फ़ाइल नाम में सिरिलिक वर्ण झूठे-फ़्लैग कथन को मज़बूत करते हैं।

ट्रोजनाइज्ड इंस्टॉलर और गुप्त परिनियोजन

ज़िप फ़ाइल के अंदर Setup.exe मौजूद है, जो एक छेड़छाड़ किया हुआ Teams इंस्टॉलर है जिसे बहु-चरणीय समझौता शुरू करने के लिए डिज़ाइन किया गया है। निष्पादन के बाद, यह पर्यावरण जाँच करता है, किसी विशिष्ट सुरक्षा उपकरण से जुड़े बाइनरीज़ को स्कैन करता है, और बहिष्करण नियम जोड़कर Microsoft Defender सेटिंग्स में छेड़छाड़ करता है। यह एक छेड़छाड़ किया हुआ Microsoft इंस्टॉलर - 'Verifier.exe', उपयोगकर्ता की AppData\Local निर्देशिका में भी डाल देता है और संक्रमण प्रवाह को बनाए रखने के लिए उसे लॉन्च करता है।

मैलवेयर AppData\Local और AppData\Roaming में कई सहायक फ़ाइलें बनाता रहता है। फिर यह इन फ़ाइलों से कॉन्फ़िगरेशन डेटा लोड करता है और एक दुर्भावनापूर्ण DLL को rundll32.exe, जो एक विश्वसनीय Windows घटक है, में इंजेक्ट कर देता है, जिससे मैलवेयर वैध प्रक्रियाओं के साथ सहजता से घुल-मिल जाता है।

वैलीआरएटी (विनोस 4.0) का सक्रियण

अंतिम चरण में वैलीआरएटी (ValleyRAT) की तैनाती होती है, जो घोस्ट आरएटी (Gh0st RAT) का एक व्युत्पन्न है। एक बार सक्रिय होने पर, यह दूरस्थ रूप से आदेशों का निष्पादन, निरंतर निगरानी, डेटा चोरी और संपूर्ण सिस्टम नियंत्रण को सक्षम बनाता है। हालाँकि घोस्ट आरएटी (Gh0st RAT) के विभिन्न रूपों को आमतौर पर चीनी साइबर अपराधी समूहों के लिए जिम्मेदार ठहराया जाता है, सिल्वर फॉक्स में रूसी तत्वों को शामिल करके दोष को पुनर्निर्देशित करने का प्रयास किया गया है।

अंतिम लक्ष्य और प्रभाव

सिल्वर फॉक्स के संचालन वित्तीय और खुफिया जानकारी जुटाने, दोनों ही उद्देश्यों को पूरा करते हैं। यह समूह धोखाधड़ी, घोटाले और चोरी के ज़रिए मुनाफ़ा कमाने के साथ-साथ संवेदनशील जानकारी भी इकट्ठा करता है जो भू-राजनीतिक लाभ प्रदान कर सकती है। पीड़ितों को तत्काल परिणाम भुगतने पड़ते हैं:

• डेटा चोरी और गोपनीय जानकारी का खुलासा।
• धोखाधड़ी या अनधिकृत गतिविधि से वित्तीय नुकसान।
• आंतरिक प्रणालियों और नेटवर्कों का दीर्घकालिक समझौता।

यह झूठा झंडा क्यों मायने रखता है

एक विदेशी ख़तरा समूह की नकल करके, सिल्वर फ़ॉक्स संभावित रूप से अस्वीकार्यता बनाए रखता है और राज्य-प्रायोजित संस्थाओं पर आमतौर पर की जाने वाली जाँच के बिना काम करता है। यह परिष्कृत बचाव रणनीति, एक विकसित होती संक्रमण श्रृंखला के साथ मिलकर, बढ़ी हुई सतर्कता, मज़बूत एंडपॉइंट सुरक्षा और निरंतर निगरानी की आवश्यकता को रेखांकित करती है, खासकर उन क्षेत्रों में काम करने वाले संगठनों के लिए जो अक्सर जटिल साइबर ख़तरों के निशाने पर रहते हैं।