Kampania złośliwego oprogramowania RAT w Silver Fox Valley
Aktor zagrożeń działający pod nazwą Silver Fox uruchomił skomplikowaną operację pod fałszywą flagą, mającą na celu zamaskowanie swojej działalności jako działalności grupy rosyjskiej. Kampania koncentruje się na użytkownikach chińskojęzycznych, w tym pracownikach zachodnich organizacji działających w Chinach, i opiera się w dużej mierze na manipulacji wyszukiwarkami i fałszywych instalatorach Microsoft Teams, aby dostarczyć znanego trojana zdalnego dostępu.
Spis treści
Przebrany za rosyjskiego aktora
Ostatnia aktywność Silver Fox koncentruje się na strategicznej próbie wprowadzenia analityków w błąd poprzez naśladowanie rosyjskich grup cyberprzestępczych. Aby wzmocnić tę iluzję, atakujący osadzają elementy cyrylicy w zmodyfikowanych komponentach ValleyRAT, a nawet pakują złośliwe pliki z nazewnictwem wzorowanym na rosyjskim. To celowe wprowadzenie w błąd komplikuje atrybucję, jednocześnie umożliwiając grupie realizację celów motywowanych finansowo i geopolitycznie.
Zatrucie SEO i przynęty o tematyce zespołowej
Od listopada 2025 roku Silver Fox prowadzi kampanię zatruwania optymalizacji wyszukiwarek (SEO), której celem jest zwabienie ofiar szukających Microsoft Teams. W przeciwieństwie do poprzednich operacji, w których wykorzystywano narzędzia takie jak Chrome, Telegram, WPS Office i DeepSeek, ta fala koncentruje się wyłącznie na Teams.
Zhakowane wyniki wyszukiwania kierują użytkowników na fałszywą stronę internetową podszywającą się pod legalną stronę pobierania Teams. Zamiast oryginalnego oprogramowania, ofiary otrzymują archiwum ZIP o nazwie „MSTчamsSetup.zip” hostowane w chmurze Alibaba Cloud. Znaki cyrylicy w nazwie pliku wzmacniają narrację o fałszywej fladze.
Instalator z trojanem i ukryte wdrażanie
W pliku ZIP znajduje się Setup.exe, zmodyfikowany instalator Teams, zaprojektowany w celu zainicjowania wieloetapowego ataku. Po uruchomieniu przeprowadza on kontrolę środowiska, skanuje w poszukiwaniu plików binarnych powiązanych z określonym narzędziem bezpieczeństwa i modyfikuje ustawienia programu Microsoft Defender, dodając reguły wykluczeń. Umieszcza również zmodyfikowany instalator Microsoft – „Verifier.exe” – w katalogu AppData\Local użytkownika i uruchamia go, aby utrzymać przepływ infekcji.
Szkodliwe oprogramowanie kontynuuje działanie, generując kilka plików pomocniczych w AppData\Local i AppData\Roaming. Następnie ładuje dane konfiguracyjne z tych plików i wstrzykuje złośliwą bibliotekę DLL do rundll32.exe, zaufanego składnika systemu Windows, umożliwiając złośliwemu oprogramowaniu bezproblemowe połączenie się z legalnymi procesami.
Aktywacja ValleyRAT (Winos 4.0)
Ostatni etap kończy się wdrożeniem ValleyRAT, pochodnej Gh0st RAT. Po aktywacji umożliwia on zdalne wykonywanie poleceń, stały nadzór, kradzież danych i pełną kontrolę nad systemem. Chociaż warianty Gh0st RAT są powszechnie przypisywane chińskim grupom cyberprzestępczym, włączenie rosyjskich elementów przez Silver Fox ma na celu przerzucenie winy na inną osobę.
Cele końcowe i wpływ
Działalność Silver Fox służy zarówno celom finansowym, jak i wywiadowczym. Grupa dąży do zysku poprzez oszustwa, przekręty i kradzieże, a jednocześnie gromadzi poufne informacje, które mogą zapewnić przewagę geopolityczną. Ofiary ponoszą natychmiastowe konsekwencje:
- Kradzież danych i ujawnienie poufnych informacji.
- Straty finansowe spowodowane oszustwem lub nieautoryzowaną działalnością.
- Długoterminowe zagrożenie wewnętrznych systemów i sieci.
Dlaczego ta fałszywa flaga ma znaczenie
Imitując zagraniczną grupę cyberprzestępczą, Silver Fox zachowuje pozorną wiarygodność i działa bez nadzoru, jaki zazwyczaj jest kierowany na podmioty sponsorowane przez państwo. Ta wyrafinowana strategia unikania, w połączeniu z rozwijającym się łańcuchem infekcji, podkreśla potrzebę wzmożonej czujności, wzmocnionej ochrony punktów końcowych i ciągłego monitorowania, szczególnie w przypadku organizacji działających w regionach często narażonych na złożone cyberzagrożenia.
