Silver Fox ValleyRAT kártevő kampány

Egy Silver Fox néven működő kiberfenyegető szervezet bonyolult hamis zászlós műveletet indított, amelynek célja, hogy tevékenységét egy orosz csoport tevékenységének álcázza. A kampány kínaiul beszélő felhasználókra, köztük Kínában jelen lévő nyugati szervezetek alkalmazottaira összpontosít, és nagymértékben támaszkodik a keresőmotorok manipulálására és a hamisított Microsoft Teams telepítőkre egy jól ismert távoli hozzáférést biztosító trójai vírus eljuttatásához.

Orosz színészként álcázva

A Silver Fox legutóbbi tevékenysége az elemzők félrevezetésére irányuló stratégiai kísérlet köré épül az orosz fenyegető csoportok utánzásával. Ennek az illúziónak a megerősítése érdekében a támadók cirill betűs elemeket ágyaznak be a módosított ValleyRAT komponensekbe, sőt, orosz stílusú elnevezési konvenciókkal csomagolnak rosszindulatú fájlokat. Ez a szándékos félrevezetés bonyolítja a tulajdonítást, miközben lehetővé teszi a csoport számára, hogy pénzügyi és geopolitikailag motivált célokat kövessen.

SEO-mérgezés és csapattémájú csalik

2025 novembere óta a Silver Fox egy keresőoptimalizálási (SEO) mérgezési kampányt futtat, amelynek célja a Microsoft Teams-t kereső áldozatok csábítása. A korábbi, olyan eszközöket visszaélő műveletekkel ellentétben, mint a Chrome, a Telegram, a WPS Office és a DeepSeek, ez a hullám kizárólag a Teamsre összpontosít.

A feltört keresési eredmények egy csaló weboldalra irányítják a felhasználókat, amely legitim Teams letöltési oldalnak adja ki magát. Az áldozatok eredeti szoftver helyett egy „MSTчamsSetup.zip” nevű ZIP archívumot kapnak, amely az Alibaba Cloudon található. A fájlnévben található cirill karakterek erősítik a hamis támadásokat.

Trójai telepítő és titkos telepítés

A ZIP fájlban található a Setup.exe, egy módosított Teams telepítő, amelyet többlépcsős kompromittálásra terveztek. Futáskor környezeti ellenőrzéseket végez, egy adott biztonsági eszközhöz társított binárisokat keres, és kizárási szabályok hozzáadásával módosítja a Microsoft Defender beállításait. Emellett egy manipulált Microsoft telepítőt, a „Verifier.exe”-t is elhelyez a felhasználó AppData\Local könyvtárában, és elindítja azt a fertőzési folyamat fenntartása érdekében.

A kártevő további lépéseket tesz úgy, hogy számos segédfájlt generál az AppData\Local és az AppData\Roaming mappákban. Ezután konfigurációs adatokat tölt be ezekből a fájlokból, és egy rosszindulatú DLL-t injektál a rundll32.exe fájlba, egy megbízható Windows-összetevőbe, lehetővé téve a kártevő számára, hogy zökkenőmentesen beépüljön a legitim folyamatokba.

A ValleyRAT aktiválása (Winos 4.0)

Az utolsó szakasz a ValleyRAT, a Gh0st RAT egy származékának telepítéséhez vezet. Aktiválása után lehetővé teszi parancsok távoli végrehajtását, folyamatos megfigyelést, adatlopást és teljes rendszervezérlést. Bár a Gh0st RAT variánsokat általában kínai kiberbűnözői csoportoknak tulajdonítják, a Silver Fox az orosz elemek bevonásával megpróbálja áthárítani a felelősséget.

Végcélok és hatás

A Silver Fox műveletei pénzügyi és hírszerzési célokat egyaránt szolgálnak. A csoport csalás, átverés és lopás révén törekszik profitra, miközben érzékeny információkat is gyűjt, amelyek geopolitikai előnyt jelenthetnek. Az áldozatok azonnali következményekkel szembesülnek:

• Adatlopás és bizalmas információk kiszivárgása.
• Csalásból vagy jogosulatlan tevékenységből eredő pénzügyi veszteségek.
• A belső rendszerek és hálózatok hosszú távú veszélyeztetése.

Miért fontos ez a hamis zászló?

Egy külföldi fenyegető csoport utánzásával a Silver Fox hihetően tagadhatónak tartja magát, és az államilag támogatott szervezetekre jellemző ellenőrzés nélkül működik. Ez a kifinomult kijátszási stratégia, a folyamatosan fejlődő fertőzési lánccal kombinálva, kiemeli a fokozott éberség, a megerősített végpontvédelem és a folyamatos megfigyelés szükségességét, különösen azoknál a szervezeteknél, amelyek olyan régiókban működnek, amelyeket gyakran céloznak meg összetett kiberfenyegetések.