सिल्भर फक्स भ्यालीआरएटी मालवेयर अभियान

सिल्भर फक्स नामले सञ्चालन भइरहेको एक धम्की अभिनेताले आफ्नो गतिविधिलाई रूसी समूहको रूपमा लुकाउन डिजाइन गरिएको विस्तृत झूटा झण्डा अपरेशन सुरु गरेको छ। यो अभियान चिनियाँ भाषी प्रयोगकर्ताहरूमा केन्द्रित छ, जसमा चीनमा उपस्थिति भएका पश्चिमी संस्थाका कर्मचारीहरू पनि समावेश छन्, र एक प्रसिद्ध रिमोट एक्सेस ट्रोजन डेलिभर गर्न खोज इन्जिन हेरफेर र नक्कली माइक्रोसफ्ट टिम्स स्थापनाकर्ताहरूमा धेरै निर्भर गर्दछ।

रूसी अभिनेताको रूपमा लुगा लगाएको

सिल्भर फक्सको हालैको गतिविधि रूसी खतरा समूहहरूको नक्कल गरेर विश्लेषकहरूलाई भ्रमित गर्ने रणनीतिक प्रयासको वरिपरि घुम्छ। यो भ्रमलाई सुदृढ पार्न, आक्रमणकारीहरूले परिमार्जित भ्यालीआरएटी कम्पोनेन्टहरूमा सिरिलिक तत्वहरू सम्मिलित गर्छन् र रूसी शैलीको नामकरण परम्पराहरूसँग दुर्भावनापूर्ण फाइलहरू पनि प्याकेज गर्छन्। यो जानाजानी गलत दिशाले समूहलाई आर्थिक र भूराजनीतिक रूपमा प्रेरित उद्देश्यहरू पछ्याउन अनुमति दिँदै श्रेयलाई जटिल बनाउँछ।

SEO विषाक्तता र टोली-थीमयुक्त आकर्षणहरू

नोभेम्बर २०२५ देखि, सिल्भर फक्सले माइक्रोसफ्ट टिम्स खोज्ने पीडितहरूलाई लोभ्याउन तयार पारिएको खोज इन्जिन अप्टिमाइजेसन (SEO) विषाक्तता अभियान चलाउँदै आएको छ। क्रोम, टेलिग्राम, WPS अफिस, र डीपसिक जस्ता उपकरणहरूको दुरुपयोग गर्ने अघिल्ला अपरेशनहरू भन्दा फरक, यो लहर केवल टिम्समा केन्द्रित छ।

सम्झौता गरिएका खोज परिणामहरूले प्रयोगकर्ताहरूलाई वैध टिम्स डाउनलोड पृष्ठको रूपमा प्रस्तुत गर्ने धोखाधडी वेबसाइटमा निर्देशित गर्दछ। वास्तविक सफ्टवेयरको सट्टा, पीडितहरूले अलिबाबा क्लाउडमा होस्ट गरिएको 'MSTчamsSetup.zip' नामक ZIP अभिलेख प्राप्त गर्छन्। फाइलनाममा सिरिलिक वर्णहरूले झूटा-झण्डा कथालाई बलियो बनाउँछन्।

ट्रोजनाइज्ड इन्स्टलर र स्टिल्थी डिप्लोयमेन्ट

ZIP फाइल भित्र Setup.exe छ, जुन एक बहु-चरण सम्झौता सुरु गर्न ईन्जिनियर गरिएको एक डक्टरेट गरिएको टोली स्थापनाकर्ता हो। कार्यान्वयनमा, यसले वातावरण जाँचहरू सञ्चालन गर्दछ, एक विशिष्ट सुरक्षा उपकरणसँग सम्बन्धित बाइनरीहरूको लागि स्क्यान गर्दछ, र बहिष्करण नियमहरू थपेर माइक्रोसफ्ट डिफेन्डर सेटिङहरूसँग छेडछाड गर्दछ। यसले प्रयोगकर्ताको AppData\Local डाइरेक्टरीमा हेरफेर गरिएको माइक्रोसफ्ट स्थापनाकर्ता - 'Verifier.exe' पनि छोड्छ र संक्रमण प्रवाह कायम राख्न यसलाई सुरु गर्छ।

मालवेयरले AppData\Local र AppData\Roaming मा धेरै सहायक फाइलहरू उत्पन्न गरेर जारी राख्छ। त्यसपछि यसले यी फाइलहरूबाट कन्फिगरेसन डेटा लोड गर्छ र rundll32.exe, एक विश्वसनीय विन्डोज कम्पोनेन्टमा मालिसियस DLL इन्जेक्ट गर्छ, जसले मालवेयरलाई वैध प्रक्रियाहरूसँग निर्बाध रूपमा मिश्रण गर्न अनुमति दिन्छ।

ValleyRAT को सक्रियता (Winos ४.०)

अन्तिम चरणमा Gh0st RAT को व्युत्पन्न, ValleyRAT को तैनाती हुन्छ। एक पटक सक्रिय भएपछि, यसले आदेशहरूको टाढाबाट कार्यान्वयन, निरन्तर निगरानी, डेटा चोरी, र पूर्ण प्रणाली नियन्त्रण सक्षम बनाउँछ। यद्यपि Gh0st RAT भेरियन्टहरू सामान्यतया चिनियाँ साइबर अपराधी समूहहरूलाई जिम्मेवार ठहराइन्छ, सिल्भर फक्सले रूसी तत्वहरूको समावेशले दोष पुन: निर्देशित गर्ने प्रयास गर्दछ।

अन्तिम लक्ष्य र प्रभाव

सिल्भर फक्सको सञ्चालनले वित्तीय र गुप्तचर सङ्कलन दुवै उद्देश्यहरू पूरा गर्दछ। यो समूहले धोखाधडी, घोटाला र चोरी मार्फत नाफा कमाउँछ, जबकि भूराजनीतिक लाभ प्रदान गर्न सक्ने संवेदनशील जानकारी पनि सङ्कलन गर्दछ। पीडितहरूले तत्काल परिणामहरू भोग्छन्:

• डेटा चोरी र गोप्य जानकारीको खुलासा।
• ठगी वा अनधिकृत गतिविधिबाट हुने आर्थिक क्षति।
• आन्तरिक प्रणाली र सञ्जालहरूको दीर्घकालीन सम्झौता।

यो झूटा झण्डा किन महत्त्वपूर्ण छ

विदेशी खतरा समूहको नक्कल गरेर, सिल्भर फक्सले सम्भवतः अस्वीकारयोग्यता कायम राख्छ र सामान्यतया राज्य-प्रायोजित संस्थाहरूमा निर्देशित जाँच बिना नै सञ्चालन गर्दछ। यो परिष्कृत चोरी रणनीति, विकसित हुँदै गइरहेको संक्रमण शृङ्खलासँग मिलेर, विशेष गरी जटिल साइबर खतराहरूद्वारा लक्षित क्षेत्रहरूमा सञ्चालन हुने संस्थाहरूको लागि बढ्दो सतर्कता, बलियो अन्तिम बिन्दु प्रतिरक्षा र निरन्तर निगरानीको आवश्यकतालाई जोड दिन्छ।