Campagna malware Silver Fox ValleyRAT
Un autore di minacce che opera sotto il nome di Silver Fox ha lanciato un'elaborata operazione sotto falsa bandiera, progettata per camuffare la propria attività come quella di un gruppo russo. La campagna si concentra su utenti di lingua cinese, inclusi dipendenti di organizzazioni occidentali con presenza in Cina, e si basa in larga misura sulla manipolazione dei motori di ricerca e su falsi installer di Microsoft Teams per diffondere un noto trojan di accesso remoto.
Sommario
Travestito da attore russo
La recente attività di Silver Fox ruota attorno a un tentativo strategico di fuorviare gli analisti imitando i gruppi di minacce russe. Per rafforzare questa illusione, gli aggressori incorporano elementi cirillici in componenti ValleyRAT modificati e persino impacchettano file dannosi con convenzioni di denominazione in stile russo. Questo depistaggio intenzionale complica l'attribuzione dei dati, consentendo al contempo al gruppo di perseguire obiettivi motivati da interessi finanziari e geopolitici.
Avvelenamento SEO e esche a tema team
Da novembre 2025, Silver Fox ha condotto una campagna di ottimizzazione per i motori di ricerca (SEO) mirata ad attirare vittime che cercavano Microsoft Teams. A differenza delle precedenti operazioni che hanno sfruttato in modo improprio strumenti come Chrome, Telegram, WPS Office e DeepSeek, questa ondata si concentra esclusivamente su Teams.
I risultati di ricerca compromessi indirizzano gli utenti a un sito web fraudolento che si spaccia per una pagina di download legittima di Teams. Invece di software autentico, le vittime ricevono un archivio ZIP denominato "MSTчamsSetup.zip" ospitato su Alibaba Cloud. I caratteri cirillici nel nome del file rafforzano la falsa interpretazione.
Programma di installazione trojanizzato e distribuzione furtiva
All'interno del file ZIP si trova Setup.exe, un programma di installazione di Teams modificato, progettato per avviare una compromissione in più fasi. Una volta eseguito, esegue controlli dell'ambiente, esegue la scansione dei file binari associati a uno specifico strumento di sicurezza e manomette le impostazioni di Microsoft Defender aggiungendo regole di esclusione. Inoltre, inserisce un programma di installazione Microsoft manipolato, "Verifier.exe", nella directory AppData\Local dell'utente e lo avvia per mantenere il flusso di infezione.
Il malware continua a generare diversi file ausiliari in AppData\Local e AppData\Roaming. Quindi carica i dati di configurazione da questi file e inietta una DLL dannosa in rundll32.exe, un componente Windows attendibile, consentendo al malware di integrarsi perfettamente nei processi legittimi.
Attivazione di ValleyRAT (Winos 4.0)
La fase finale si conclude con l'implementazione di ValleyRAT, un derivato di Gh0st RAT. Una volta attivo, consente l'esecuzione remota di comandi, la sorveglianza persistente, il furto di dati e il controllo completo del sistema. Sebbene le varianti di Gh0st RAT siano comunemente attribuite a gruppi di criminali informatici cinesi, l'inclusione di elementi russi da parte di Silver Fox tenta di reindirizzare le responsabilità.
Obiettivi finali e impatto
Le attività di Silver Fox hanno finalità sia finanziarie che di raccolta di informazioni. Il gruppo persegue il profitto attraverso frodi, truffe e furti, raccogliendo al contempo informazioni sensibili che potrebbero fornire una leva geopolitica. Le vittime subiscono conseguenze immediate:
- Furto di dati ed esposizione di informazioni riservate.
- Perdite finanziarie derivanti da frodi o attività non autorizzate.
- Compromissione a lungo termine dei sistemi e delle reti interne.
Perché questa falsa bandiera è importante
Imitando un gruppo di minacce straniere, Silver Fox mantiene una plausibile negabilità e opera senza il controllo solitamente rivolto alle entità sponsorizzate dallo Stato. Questa sofisticata strategia di elusione, combinata con una catena di infezioni in continua evoluzione, sottolinea la necessità di una maggiore vigilanza, di difese endpoint rafforzate e di un monitoraggio continuo, soprattutto per le organizzazioni che operano in regioni frequentemente colpite da minacce informatiche complesse.
