„Silver Fox ValleyRAT“ kenkėjiškų programų kampanija

„Silver Fox“ vardu veikianti grėsmės veikėja pradėjo sudėtingą melagingą operaciją, kuria siekiama nuslėpti savo veiklą kaip Rusijos grupuotės veiklą. Kampanija orientuota į kinų kalba kalbančius vartotojus, įskaitant Kinijoje veikiančių Vakarų organizacijų darbuotojus, ir labai remiasi paieškos sistemų manipuliacijomis bei padirbtais „Microsoft Teams“ diegimo įrankiais, kad būtų galima pristatyti gerai žinomą nuotolinės prieigos Trojos arklį.

Apsimetė rusų aktoriumi

Pastaruoju metu „Silver Fox“ veikla sukasi apie strateginį bandymą suklaidinti analitikus mėgdžiojant Rusijos grėsmių grupuotes. Siekdami sustiprinti šią iliuziją, užpuolikai įterpia kirilicos elementus į modifikuotus „ValleyRAT“ komponentus ir netgi supakuoja kenkėjiškus failus su rusiško stiliaus pavadinimų konvencijomis. Šis tyčinis klaidinimas apsunkina priskyrimą ir leidžia grupuotei siekti finansiškai ir geopolitiškai motyvuotų tikslų.

SEO apsinuodijimas ir komandų tematikos masalai

Nuo 2025 m. lapkričio mėn. „Silver Fox“ vykdo paieškos sistemų optimizavimo (SEO) užkrėtimo kampaniją, skirtą privilioti aukas, ieškančias „Microsoft Teams“. Kitaip nei ankstesnės operacijos, kurių metu buvo piktnaudžiaujama tokiais įrankiais kaip „Chrome“, „Telegram“, „WPS Office“ ir „DeepSeek“, ši banga skirta tik „Teams“.

Pažeisti paieškos rezultatai nukreipia vartotojus į apgaulingą svetainę, kuri apsimeta teisėtu „Teams“ atsisiuntimo puslapiu. Vietoj originalios programinės įrangos aukos gauna ZIP archyvą pavadinimu „MSTчamsSetup.zip“, esantį „Alibaba Cloud“ saugykloje. Kirilicos simboliai failo pavadinime sustiprina klaidingą naratyvą.

Trojos arklio tipo diegimo programa ir slaptas diegimas

ZIP faile yra „Setup.exe“ – modifikuota „Teams“ diegimo programa, sukurta inicijuoti daugiapakopį užkrėtimą. Paleidus programą, ji atlieka aplinkos patikrinimus, ieško dvejetainių failų, susietų su konkrečiu saugos įrankiu, ir keičia „Microsoft Defender“ nustatymus, pridėdama išskyrimo taisykles. Ji taip pat įkelia modifikuotą „Microsoft“ diegimo programą – „Verifier.exe“ – į vartotojo „AppData\Local“ katalogą ir paleidžia ją, kad palaikytų užkrėtimo srautą.

Kenkėjiška programa toliau generuoja kelis pagalbinius failus „AppData\Local“ ir „AppData\Roaming“ aplankuose. Tada ji įkelia konfigūracijos duomenis iš šių failų ir įterpia kenkėjišką DLL failą į patikimą „Windows“ komponentą „rundll32.exe“, leisdama kenkėjiškai programai sklandžiai susilieti su teisėtais procesais.

„ValleyRAT“ aktyvinimas („Winos 4.0“)

Paskutiniame etape diegiama „ValleyRAT“ – „Gh0st RAT“ darinys. Kai ji suaktyvinama, ji leidžia nuotoliniu būdu vykdyti komandas, nuolat stebėti, vogti duomenis ir visiškai kontroliuoti sistemą. Nors „Gh0st RAT“ variantai dažniausiai priskiriami Kinijos kibernetinių nusikaltėlių grupuotėms, „Silver Fox“ įtraukė rusiškus elementus, kad nukreiptų kaltę kitur.

Galutiniai tikslai ir poveikis

„Silver Fox“ veikla vykdoma tiek finansiniais, tiek žvalgybos tikslais. Grupė siekia pelno sukčiavimu, aferomis ir vagystėmis, taip pat renka neskelbtiną informaciją, kuri gali suteikti geopolitinį svertą. Aukos susiduria su tiesioginėmis pasekmėmis:

• Duomenų vagystė ir konfidencialios informacijos atskleidimas.
• Finansiniai nuostoliai dėl sukčiavimo ar neteisėtos veiklos.
• Ilgalaikis vidinių sistemų ir tinklų pakenkimas.

Kodėl ši klaidinga vėliava svarbi

Imituodama užsienio grėsmių grupę, „Silver Fox“ išlaiko tikėtiną neigimo potencialą ir veikia be kontrolės, kuri paprastai taikoma valstybės remiamiems subjektams. Ši sudėtinga apėjimo strategija kartu su besivystančia užkrėtimo grandine pabrėžia didesnio budrumo, sustiprintos galinių taškų apsaugos ir nuolatinės stebėsenos poreikį, ypač organizacijoms, veikiančioms regionuose, kuriuos dažnai taikosi sudėtingos kibernetinės grėsmės.