Kempen Peribadi Silver Fox ValleyRAT
Seorang pelakon ancaman yang beroperasi di bawah nama Silver Fox telah melancarkan operasi bendera palsu yang rumit yang direka untuk menyamar aktivitinya sebagai kumpulan Rusia. Kempen ini memberi tumpuan kepada pengguna berbahasa Cina, termasuk pekerja organisasi Barat dengan kehadiran di China, dan sangat bergantung pada manipulasi enjin carian dan pemasang Microsoft Teams palsu untuk menghantar trojan akses jauh yang terkenal.
Isi kandungan
Berjubah sebagai Pelakon Rusia
Aktiviti Silver Fox baru-baru ini berkisar pada percubaan strategik untuk mengelirukan penganalisis dengan meniru kumpulan ancaman Rusia. Untuk mengukuhkan ilusi ini, penyerang membenamkan elemen Cyrillic ke dalam komponen ValleyRAT yang diubah suai dan juga membungkus fail berniat jahat dengan konvensyen penamaan gaya Rusia. Penyelewengan yang disengajakan ini merumitkan atribusi sambil membenarkan kumpulan itu mengejar objektif bermotifkan kewangan dan geopolitik.
Keracunan SEO dan Gewang Bertemakan Pasukan
Sejak November 2025, Silver Fox telah menjalankan kempen keracunan pengoptimuman enjin carian (SEO) yang disesuaikan untuk memikat mangsa yang mencari Microsoft Teams. Tidak seperti operasi sebelumnya yang menyalahgunakan alatan seperti Chrome, Telegram, WPS Office dan DeepSeek, gelombang ini memfokuskan pada Pasukan semata-mata.
Hasil carian yang terjejas mengarahkan pengguna ke tapak web penipuan yang menyamar sebagai halaman muat turun Pasukan yang sah. Daripada perisian tulen, mangsa menerima arkib ZIP bernama 'MSTчamsSetup.zip' yang dihoskan di Alibaba Cloud. Aksara Cyrillic dalam nama fail menguatkan naratif bendera palsu.
Pemasang Trojan dan Penggunaan Senyap
Di dalam fail ZIP terletak Setup.exe, pemasang Teams yang telah didoktorkan yang direka bentuk untuk memulakan kompromi berbilang peringkat. Selepas pelaksanaan, ia menjalankan semakan persekitaran, mengimbas perduaan yang dikaitkan dengan alat keselamatan tertentu dan mengusik tetapan Microsoft Defender dengan menambahkan peraturan pengecualian. Ia juga menjatuhkan pemasang Microsoft yang dimanipulasi - 'Verifier.exe,' ke dalam direktori AppData\Local pengguna dan melancarkannya untuk mengekalkan aliran jangkitan.
Malware berterusan dengan menjana beberapa fail tambahan merentas AppData\Local dan AppData\Roaming. Ia kemudian memuatkan data konfigurasi daripada fail ini dan menyuntik DLL berniat jahat ke dalam rundll32.exe, komponen Windows yang dipercayai, membenarkan perisian hasad untuk menggabungkan dengan lancar dengan proses yang sah.
Pengaktifan ValleyRAT (Winos 4.0)
Peringkat akhir menghasilkan penggunaan ValleyRAT, terbitan Gh0st RAT. Setelah aktif, ia membolehkan pelaksanaan jauh arahan, pengawasan berterusan, kecurian data dan kawalan sistem penuh. Walaupun varian Gh0st RAT biasanya dikaitkan dengan kumpulan penjenayah siber China, kemasukan Silver Fox terhadap elemen Rusia cuba untuk mengubah hala kesalahan.
Matlamat Akhir dan Kesan
Operasi Silver Fox berfungsi untuk tujuan kewangan dan pengumpulan risikan. Kumpulan itu mengejar keuntungan melalui penipuan, penipuan dan kecurian, sementara juga menuai maklumat sensitif yang mungkin memberikan leverage geopolitik. Mangsa menghadapi akibat segera:
- Pencurian data dan pendedahan maklumat sulit.
- Kerugian kewangan daripada penipuan atau aktiviti yang tidak dibenarkan.
- Kompromi jangka panjang sistem dan rangkaian dalaman.
Mengapa Bendera Palsu Ini Penting
Dengan meniru kumpulan ancaman asing, Silver Fox mengekalkan kebolehpercayaan yang munasabah dan beroperasi tanpa penelitian yang biasanya ditujukan kepada entiti tajaan kerajaan. Strategi pengelakan yang canggih ini, digabungkan dengan rantaian jangkitan yang berkembang, menekankan keperluan untuk meningkatkan kewaspadaan, memperkukuh pertahanan titik akhir dan pemantauan berterusan, terutamanya untuk organisasi yang beroperasi di wilayah yang kerap disasarkan oleh ancaman siber yang kompleks.
