ਸਿਲਵਰ ਫੌਕਸ ਵੈਲੀਆਰਏਟੀ ਮਾਲਵੇਅਰ ਮੁਹਿੰਮ

ਸਿਲਵਰ ਫੌਕਸ ਨਾਮ ਹੇਠ ਕੰਮ ਕਰਨ ਵਾਲੇ ਇੱਕ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਐਕਟਰ ਨੇ ਇੱਕ ਵਿਸਤ੍ਰਿਤ ਝੂਠਾ-ਝੰਡਾ ਕਾਰਵਾਈ ਸ਼ੁਰੂ ਕੀਤੀ ਹੈ ਜੋ ਇਸਦੀ ਗਤੀਵਿਧੀ ਨੂੰ ਇੱਕ ਰੂਸੀ ਸਮੂਹ ਦੇ ਰੂਪ ਵਿੱਚ ਛੁਪਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਹ ਮੁਹਿੰਮ ਚੀਨੀ ਬੋਲਣ ਵਾਲੇ ਉਪਭੋਗਤਾਵਾਂ 'ਤੇ ਕੇਂਦ੍ਰਿਤ ਹੈ, ਜਿਸ ਵਿੱਚ ਚੀਨ ਵਿੱਚ ਮੌਜੂਦਗੀ ਵਾਲੇ ਪੱਛਮੀ ਸੰਗਠਨਾਂ ਦੇ ਕਰਮਚਾਰੀ ਵੀ ਸ਼ਾਮਲ ਹਨ, ਅਤੇ ਇੱਕ ਜਾਣੇ-ਪਛਾਣੇ ਰਿਮੋਟ ਐਕਸੈਸ ਟ੍ਰੋਜਨ ਨੂੰ ਪ੍ਰਦਾਨ ਕਰਨ ਲਈ ਸਰਚ ਇੰਜਣ ਹੇਰਾਫੇਰੀ ਅਤੇ ਨਕਲੀ ਮਾਈਕ੍ਰੋਸਾਫਟ ਟੀਮਸ ਇੰਸਟਾਲਰਾਂ 'ਤੇ ਬਹੁਤ ਜ਼ਿਆਦਾ ਨਿਰਭਰ ਕਰਦਾ ਹੈ।

ਇੱਕ ਰੂਸੀ ਅਦਾਕਾਰ ਦੇ ਰੂਪ ਵਿੱਚ ਭੇਸ ਧਾਰਨ ਕੀਤਾ

ਸਿਲਵਰ ਫੌਕਸ ਦੀ ਹਾਲੀਆ ਗਤੀਵਿਧੀ ਰੂਸੀ ਧਮਕੀ ਸਮੂਹਾਂ ਦੀ ਨਕਲ ਕਰਕੇ ਵਿਸ਼ਲੇਸ਼ਕਾਂ ਨੂੰ ਗੁੰਮਰਾਹ ਕਰਨ ਦੀ ਇੱਕ ਰਣਨੀਤਕ ਕੋਸ਼ਿਸ਼ ਦੇ ਦੁਆਲੇ ਘੁੰਮਦੀ ਹੈ। ਇਸ ਭਰਮ ਨੂੰ ਹੋਰ ਮਜ਼ਬੂਤ ਕਰਨ ਲਈ, ਹਮਲਾਵਰ ਸਿਰਿਲਿਕ ਤੱਤਾਂ ਨੂੰ ਸੋਧੇ ਹੋਏ ਵੈਲੀਆਰਏਟੀ ਹਿੱਸਿਆਂ ਵਿੱਚ ਸ਼ਾਮਲ ਕਰਦੇ ਹਨ ਅਤੇ ਇੱਥੋਂ ਤੱਕ ਕਿ ਰੂਸੀ-ਸ਼ੈਲੀ ਵਾਲੇ ਨਾਮਕਰਨ ਪਰੰਪਰਾਵਾਂ ਨਾਲ ਖਤਰਨਾਕ ਫਾਈਲਾਂ ਨੂੰ ਵੀ ਪੈਕੇਜ ਕਰਦੇ ਹਨ। ਇਹ ਜਾਣਬੁੱਝ ਕੇ ਗਲਤ ਦਿਸ਼ਾ-ਨਿਰਦੇਸ਼ ਸਮੂਹ ਨੂੰ ਵਿੱਤੀ ਅਤੇ ਭੂ-ਰਾਜਨੀਤਿਕ ਤੌਰ 'ਤੇ ਪ੍ਰੇਰਿਤ ਉਦੇਸ਼ਾਂ ਨੂੰ ਅੱਗੇ ਵਧਾਉਣ ਦੀ ਆਗਿਆ ਦਿੰਦੇ ਹੋਏ ਵਿਸ਼ੇਸ਼ਤਾ ਨੂੰ ਗੁੰਝਲਦਾਰ ਬਣਾਉਂਦਾ ਹੈ।

SEO ਜ਼ਹਿਰ ਅਤੇ ਟੀਮਾਂ-ਥੀਮ ਵਾਲੇ ਲਾਲਚ

ਨਵੰਬਰ 2025 ਤੋਂ, ਸਿਲਵਰ ਫੌਕਸ ਮਾਈਕ੍ਰੋਸਾਫਟ ਟੀਮਾਂ ਦੀ ਖੋਜ ਕਰਨ ਵਾਲੇ ਪੀੜਤਾਂ ਨੂੰ ਲੁਭਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤੀ ਗਈ ਇੱਕ ਸਰਚ ਇੰਜਨ ਔਪਟੀਮਾਈਜੇਸ਼ਨ (SEO) ਜ਼ਹਿਰ ਮੁਹਿੰਮ ਚਲਾ ਰਿਹਾ ਹੈ। ਪਿਛਲੇ ਓਪਰੇਸ਼ਨਾਂ ਦੇ ਉਲਟ ਜੋ Chrome, Telegram, WPS Office, ਅਤੇ DeepSeek ਵਰਗੇ ਟੂਲਸ ਦੀ ਦੁਰਵਰਤੋਂ ਕਰਦੇ ਸਨ, ਇਹ ਲਹਿਰ ਸਿਰਫ਼ ਟੀਮਾਂ 'ਤੇ ਕੇਂਦ੍ਰਿਤ ਹੈ।

ਛੇੜਛਾੜ ਕੀਤੇ ਖੋਜ ਨਤੀਜੇ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਇੱਕ ਧੋਖਾਧੜੀ ਵਾਲੀ ਵੈੱਬਸਾਈਟ ਵੱਲ ਭੇਜਦੇ ਹਨ ਜੋ ਇੱਕ ਜਾਇਜ਼ ਟੀਮ ਡਾਊਨਲੋਡ ਪੰਨੇ ਵਜੋਂ ਪੇਸ਼ ਕਰਦੀ ਹੈ। ਅਸਲੀ ਸੌਫਟਵੇਅਰ ਦੀ ਬਜਾਏ, ਪੀੜਤਾਂ ਨੂੰ ਅਲੀਬਾਬਾ ਕਲਾਉਡ 'ਤੇ ਹੋਸਟ ਕੀਤਾ ਗਿਆ 'MSTчamsSetup.zip' ਨਾਮ ਦਾ ਇੱਕ ZIP ਆਰਕਾਈਵ ਪ੍ਰਾਪਤ ਹੁੰਦਾ ਹੈ। ਫਾਈਲ ਨਾਮ ਵਿੱਚ ਸਿਰਿਲਿਕ ਅੱਖਰ ਝੂਠੇ-ਝੰਡੇ ਵਾਲੇ ਬਿਰਤਾਂਤ ਨੂੰ ਮਜ਼ਬੂਤ ਕਰਦੇ ਹਨ।

ਟ੍ਰੋਜਨਾਈਜ਼ਡ ਇੰਸਟੌਲਰ ਅਤੇ ਸਟੀਲਥੀ ਡਿਪਲਾਇਮੈਂਟ

ZIP ਫਾਈਲ ਦੇ ਅੰਦਰ Setup.exe ਹੈ, ਇੱਕ ਡੌਕਰੇਟਡ ਟੀਮਸ ਇੰਸਟਾਲਰ ਜੋ ਇੱਕ ਮਲਟੀ-ਸਟੇਜ ਸਮਝੌਤਾ ਸ਼ੁਰੂ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਐਗਜ਼ੀਕਿਊਸ਼ਨ 'ਤੇ, ਇਹ ਵਾਤਾਵਰਣ ਜਾਂਚ ਕਰਦਾ ਹੈ, ਇੱਕ ਖਾਸ ਸੁਰੱਖਿਆ ਟੂਲ ਨਾਲ ਜੁੜੀਆਂ ਬਾਈਨਰੀਆਂ ਲਈ ਸਕੈਨ ਕਰਦਾ ਹੈ, ਅਤੇ ਐਕਸਕਲੂਜ਼ਨ ਨਿਯਮਾਂ ਨੂੰ ਜੋੜ ਕੇ Microsoft Defender ਸੈਟਿੰਗਾਂ ਨਾਲ ਛੇੜਛਾੜ ਕਰਦਾ ਹੈ। ਇਹ ਇੱਕ ਹੇਰਾਫੇਰੀ ਕੀਤੇ Microsoft ਇੰਸਟਾਲਰ - 'Verifier.exe' ਨੂੰ ਉਪਭੋਗਤਾ ਦੀ AppData\Local ਡਾਇਰੈਕਟਰੀ ਵਿੱਚ ਵੀ ਛੱਡਦਾ ਹੈ ਅਤੇ ਇਨਫੈਕਸ਼ਨ ਪ੍ਰਵਾਹ ਨੂੰ ਬਣਾਈ ਰੱਖਣ ਲਈ ਇਸਨੂੰ ਲਾਂਚ ਕਰਦਾ ਹੈ।

ਇਹ ਮਾਲਵੇਅਰ AppData\Local ਅਤੇ AppData\Roaming ਵਿੱਚ ਕਈ ਸਹਾਇਕ ਫਾਈਲਾਂ ਤਿਆਰ ਕਰਕੇ ਜਾਰੀ ਰਹਿੰਦਾ ਹੈ। ਇਹ ਫਿਰ ਇਹਨਾਂ ਫਾਈਲਾਂ ਤੋਂ ਕੌਂਫਿਗਰੇਸ਼ਨ ਡੇਟਾ ਲੋਡ ਕਰਦਾ ਹੈ ਅਤੇ ਇੱਕ ਖਤਰਨਾਕ DLL ਨੂੰ rundll32.exe ਵਿੱਚ ਇੰਜੈਕਟ ਕਰਦਾ ਹੈ, ਜੋ ਕਿ ਇੱਕ ਭਰੋਸੇਯੋਗ ਵਿੰਡੋਜ਼ ਕੰਪੋਨੈਂਟ ਹੈ, ਜਿਸ ਨਾਲ ਮਾਲਵੇਅਰ ਜਾਇਜ਼ ਪ੍ਰਕਿਰਿਆਵਾਂ ਨਾਲ ਸਹਿਜੇ ਹੀ ਮਿਲ ਜਾਂਦਾ ਹੈ।

ValleyRAT (Winos 4.0) ਦੀ ਸਰਗਰਮੀ

ਅੰਤਿਮ ਪੜਾਅ ਦੇ ਨਤੀਜੇ ਵਜੋਂ Gh0st RAT ਦਾ ਇੱਕ ਡੈਰੀਵੇਟਿਵ, ValleyRAT ਦੀ ਤੈਨਾਤੀ ਹੁੰਦੀ ਹੈ। ਇੱਕ ਵਾਰ ਸਰਗਰਮ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਇਹ ਕਮਾਂਡਾਂ ਦੇ ਰਿਮੋਟ ਐਗਜ਼ੀਕਿਊਸ਼ਨ, ਨਿਰੰਤਰ ਨਿਗਰਾਨੀ, ਡੇਟਾ ਚੋਰੀ ਅਤੇ ਪੂਰੇ ਸਿਸਟਮ ਨਿਯੰਤਰਣ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ। ਹਾਲਾਂਕਿ Gh0st RAT ਰੂਪਾਂ ਨੂੰ ਆਮ ਤੌਰ 'ਤੇ ਚੀਨੀ ਸਾਈਬਰ ਅਪਰਾਧੀ ਸਮੂਹਾਂ ਨਾਲ ਜੋੜਿਆ ਜਾਂਦਾ ਹੈ, ਸਿਲਵਰ ਫੌਕਸ ਦੁਆਰਾ ਰੂਸੀ ਤੱਤਾਂ ਨੂੰ ਸ਼ਾਮਲ ਕਰਨਾ ਦੋਸ਼ ਨੂੰ ਮੁੜ ਨਿਰਦੇਸ਼ਤ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦਾ ਹੈ।

ਅੰਤਮ ਟੀਚੇ ਅਤੇ ਪ੍ਰਭਾਵ

ਸਿਲਵਰ ਫੌਕਸ ਦੇ ਕੰਮ ਵਿੱਤੀ ਅਤੇ ਖੁਫੀਆ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨ ਦੇ ਉਦੇਸ਼ਾਂ ਨੂੰ ਪੂਰਾ ਕਰਦੇ ਹਨ। ਇਹ ਸਮੂਹ ਧੋਖਾਧੜੀ, ਘੁਟਾਲਿਆਂ ਅਤੇ ਚੋਰੀ ਰਾਹੀਂ ਮੁਨਾਫ਼ਾ ਕਮਾਉਂਦਾ ਹੈ, ਨਾਲ ਹੀ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਵੀ ਇਕੱਠੀ ਕਰਦਾ ਹੈ ਜੋ ਭੂ-ਰਾਜਨੀਤਿਕ ਲਾਭ ਪ੍ਰਦਾਨ ਕਰ ਸਕਦੀ ਹੈ। ਪੀੜਤਾਂ ਨੂੰ ਤੁਰੰਤ ਨਤੀਜੇ ਭੁਗਤਣੇ ਪੈਂਦੇ ਹਨ:

• ਡਾਟਾ ਚੋਰੀ ਅਤੇ ਗੁਪਤ ਜਾਣਕਾਰੀ ਦਾ ਖੁਲਾਸਾ।
• ਧੋਖਾਧੜੀ ਜਾਂ ਅਣਅਧਿਕਾਰਤ ਗਤੀਵਿਧੀ ਤੋਂ ਵਿੱਤੀ ਨੁਕਸਾਨ।
• ਅੰਦਰੂਨੀ ਪ੍ਰਣਾਲੀਆਂ ਅਤੇ ਨੈੱਟਵਰਕਾਂ ਦਾ ਲੰਬੇ ਸਮੇਂ ਲਈ ਸਮਝੌਤਾ।

ਇਹ ਝੂਠਾ ਝੰਡਾ ਕਿਉਂ ਮਾਇਨੇ ਰੱਖਦਾ ਹੈ

ਇੱਕ ਵਿਦੇਸ਼ੀ ਧਮਕੀ ਸਮੂਹ ਦੀ ਨਕਲ ਕਰਕੇ, ਸਿਲਵਰ ਫੌਕਸ ਸੰਭਾਵਿਤ ਇਨਕਾਰਯੋਗਤਾ ਨੂੰ ਕਾਇਮ ਰੱਖਦਾ ਹੈ ਅਤੇ ਆਮ ਤੌਰ 'ਤੇ ਰਾਜ-ਪ੍ਰਯੋਜਿਤ ਸੰਸਥਾਵਾਂ 'ਤੇ ਨਿਰਦੇਸ਼ਿਤ ਜਾਂਚ ਤੋਂ ਬਿਨਾਂ ਕੰਮ ਕਰਦਾ ਹੈ। ਇਹ ਸੂਝਵਾਨ ਚੋਰੀ ਦੀ ਰਣਨੀਤੀ, ਇੱਕ ਵਿਕਸਤ ਹੋ ਰਹੀ ਲਾਗ ਲੜੀ ਦੇ ਨਾਲ, ਉੱਚ ਚੌਕਸੀ, ਮਜ਼ਬੂਤ ਅੰਤਮ ਬਿੰਦੂ ਬਚਾਅ ਅਤੇ ਨਿਰੰਤਰ ਨਿਗਰਾਨੀ ਦੀ ਜ਼ਰੂਰਤ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ, ਖਾਸ ਤੌਰ 'ਤੇ ਗੁੰਝਲਦਾਰ ਸਾਈਬਰ ਖਤਰਿਆਂ ਦੁਆਰਾ ਅਕਸਰ ਨਿਸ਼ਾਨਾ ਬਣਾਏ ਗਏ ਖੇਤਰਾਂ ਵਿੱਚ ਕੰਮ ਕਰਨ ਵਾਲੇ ਸੰਗਠਨਾਂ ਲਈ।