Silver Fox ValleyRAT 맬웨어 캠페인

실버 폭스(Silver Fox)라는 이름으로 활동하는 위협 행위자가 러시아 조직의 활동으로 위장하기 위해 정교한 위장 작전을 시작했습니다. 이 캠페인은 중국에 진출한 서구 기업의 직원을 포함한 중국어 사용자들을 대상으로 하며, 검색 엔진 조작과 위조 Microsoft Teams 설치 프로그램을 활용하여 잘 알려진 원격 접속 트로이 목마를 유포합니다.

러시아 배우로 위장하다

실버 폭스의 최근 활동은 러시아 위협 그룹을 모방하여 분석가들을 현혹하려는 전략적 시도를 중심으로 전개됩니다. 이러한 착각을 부추기기 위해 공격자는 변형된 ValleyRAT 구성 요소에 키릴 문자를 삽입하고, 심지어 러시아식 명명 규칙을 사용하여 악성 파일을 패키징하기도 합니다. 이러한 의도적인 오도는 해당 그룹이 재정적, 지정학적으로 동기를 부여받은 목표를 추구할 수 있도록 하는 동시에, 출처를 밝히는 것을 어렵게 만듭니다.

SEO 중독 및 팀 테마 미끼

Silver Fox는 2025년 11월부터 Microsoft Teams를 검색하는 피해자들을 유인하기 위해 검색 엔진 최적화(SEO) 포이즈닝 캠페인을 실행해 왔습니다. Chrome, Telegram, WPS Office, DeepSeek 등의 도구를 악용했던 이전 공격과는 달리, 이번 공격은 Teams에만 집중되어 있습니다.

손상된 검색 결과는 사용자를 합법적인 Teams 다운로드 페이지로 위장한 사기성 웹사이트로 연결합니다. 피해자는 정품 소프트웨어 대신 Alibaba Cloud에 호스팅된 'MSTчamsSetup.zip'이라는 이름의 ZIP 압축 파일을 받게 됩니다. 파일명의 키릴 문자는 이러한 허위 신고를 더욱 강화합니다.

트로이 목마 설치 프로그램 및 은밀한 배포

ZIP 파일 내부에는 다단계 침투를 시작하도록 설계된 Teams 설치 프로그램인 Setup.exe가 있습니다. 실행 시 환경 검사를 수행하고, 특정 보안 도구와 관련된 바이너리를 검사하고, 제외 규칙을 추가하여 Microsoft Defender 설정을 조작합니다. 또한 조작된 Microsoft 설치 프로그램인 'Verifier.exe'를 사용자의 AppData\Local 디렉터리에 심고 실행하여 감염 흐름을 유지합니다.

이 악성코드는 AppData\Local과 AppData\Roaming에 여러 개의 보조 파일을 생성합니다. 그런 다음 이 파일에서 구성 데이터를 로드하고 신뢰할 수 있는 Windows 구성 요소인 rundll32.exe에 악성 DLL을 삽입하여 악성코드가 정상 프로세스에 자연스럽게 섞이도록 합니다.

ValleyRAT 활성화(Winos 4.0)

마지막 단계에서는 Gh0st RAT의 파생형인 ValleyRAT이 배포됩니다. 활성화되면 원격 명령 실행, 지속적인 감시, 데이터 유출, 그리고 전체 시스템 제어가 가능합니다. Gh0st RAT 변종은 일반적으로 중국 사이버 범죄 조직의 소행으로 여겨지지만, Silver Fox가 러시아 요소를 포함시킨 것은 비난의 대상을 다른 곳으로 돌리려는 시도입니다.

최종 목표 및 영향

실버 폭스의 활동은 재정적 목적과 정보 수집이라는 두 가지 목적을 모두 수행합니다. 이 조직은 사기, 횡령, 절도를 통해 이익을 추구하는 동시에 지정학적 영향력을 제공할 수 있는 민감한 정보를 수집합니다. 피해자들은 즉각적인 결과에 직면하게 됩니다.

• 데이터 도난 및 기밀 정보 노출.
• 사기나 무단 행위로 인한 재정적 손실.
• 내부 시스템과 네트워크의 장기적인 손상.

이 거짓 깃발이 중요한 이유

실버 폭스는 외국 위협 집단을 모방함으로써, 그럴듯한 부인 가능성을 유지하고 국가 지원 기관에 일반적으로 가해지는 감시 없이 활동합니다. 이러한 정교한 회피 전략은 진화하는 감염 사슬과 결합되어, 특히 복잡한 사이버 위협의 표적이 되는 지역에서 활동하는 조직에 대한 경계 강화, 엔드포인트 방어 강화, 그리고 지속적인 모니터링의 필요성을 강조합니다.