Silver Fox Valley RAT-skadevarekampanje
En trusselaktør som opererer under navnet Silver Fox har lansert en omfattende falsk flagg-operasjon som er utformet for å skjule aktiviteten sin som en russisk gruppes. Kampanjen fokuserer på kinesisktalende brukere, inkludert ansatte i vestlige organisasjoner med tilstedeværelse i Kina, og er i stor grad avhengig av søkemotormanipulasjon og forfalskede Microsoft Teams-installasjonsprogrammer for å levere en velkjent trojaner for ekstern tilgang.
Innholdsfortegnelse
Forkledd som en russisk skuespiller
Silver Fox' nylige aktivitet dreier seg om et strategisk forsøk på å villede analytikere ved å etterligne russiske trusselgrupper. For å forsterke denne illusjonen, bygger angriperne inn kyrilliske elementer i modifiserte ValleyRAT-komponenter og pakker til og med skadelige filer med russiskinspirerte navnekonvensjoner. Denne bevisste feilretningen kompliserer attribusjonen samtidig som den lar gruppen forfølge økonomisk og geopolitisk motiverte mål.
SEO-forgiftning og lokkemidler med teamtema
Siden november 2025 har Silver Fox kjørt en SEO-forgiftningskampanje skreddersydd for å lokke ofre som søker etter Microsoft Teams. I motsetning til tidligere operasjoner som misbrukte verktøy som Chrome, Telegram, WPS Office og DeepSeek, fokuserer denne bølgen utelukkende på Teams.
Kompromitterte søkeresultater leder brukere til et uredelig nettsted som utgir seg for å være en legitim Teams-nedlastingsside. I stedet for ekte programvare mottar ofrene et ZIP-arkiv kalt «MSTчamsSetup.zip» som ligger på Alibaba Cloud. De kyrilliske tegnene i filnavnet forsterker narrativet om falskt flagg.
Trojanisert installasjonsprogram og skjult distribusjon
Inne i ZIP-filen ligger Setup.exe, et manipulert Teams-installasjonsprogram som er utviklet for å starte en flertrinns kompromittering. Ved kjøring utfører det miljøkontroller, skanner etter binærfiler tilknyttet et spesifikt sikkerhetsverktøy og tukler med Microsoft Defender-innstillinger ved å legge til ekskluderingsregler. Det slipper også et manipulert Microsoft-installasjonsprogram – «Verifier.exe» – i brukerens AppData\Local-katalog og starter det for å opprettholde infeksjonsflyten.
Skadevaren fortsetter ved å generere flere hjelpefiler på tvers av AppData\Local og AppData\Roaming. Deretter laster den konfigurasjonsdata fra disse filene og injiserer en skadelig DLL i rundll32.exe, en pålitelig Windows-komponent, slik at skadevaren kan blandes sømløst med legitime prosesser.
Aktivering av ValleyRAT (Winos 4.0)
Den siste fasen resulterer i utplasseringen av ValleyRAT, en derivat av Gh0st RAT. Når den er aktiv, muliggjør den fjernutførelse av kommandoer, vedvarende overvåking, datatyveri og full systemkontroll. Selv om Gh0st RAT-varianter ofte tilskrives kinesiske nettkriminelle grupper, forsøker Silver Fox' inkludering av russiske elementer å omdirigere skylden.
Endelige mål og innvirkning
Silver Fox' virksomhet tjener både økonomiske formål og etterretningsinnsamling. Gruppen søker profitt gjennom svindel, bedrageri og tyveri, samtidig som de innhenter sensitiv informasjon som kan gi geopolitisk innflytelse. Ofrene står overfor umiddelbare konsekvenser:
- Datatyveri og eksponering av konfidensiell informasjon.
- Økonomiske tap som følge av svindel eller uautorisert aktivitet.
- Langsiktig kompromiss av interne systemer og nettverk.
Hvorfor dette falske flagget er viktig
Ved å imitere en utenlandsk trusselgruppe opprettholder Silver Fox plausibel benektelse og opererer uten den granskingen som vanligvis rettes mot statsstøttede enheter. Denne sofistikerte unnvikelsesstrategien, kombinert med en utviklende infeksjonskjede, understreker behovet for økt årvåkenhet, styrket endepunktforsvar og kontinuerlig overvåking, spesielt for organisasjoner som opererer i regioner som ofte er mål for komplekse cybertrusler.
