Campanha de malware Silver Fox ValleyRAT
Um grupo de ameaças cibernéticas que opera sob o nome de Silver Fox lançou uma elaborada operação de falsa bandeira, projetada para disfarçar suas atividades como sendo de um grupo russo. A campanha tem como alvo usuários de língua chinesa, incluindo funcionários de organizações ocidentais com presença na China, e se baseia fortemente na manipulação de mecanismos de busca e em instaladores falsificados do Microsoft Teams para distribuir um conhecido trojan de acesso remoto.
Índice
Disfarçado de ator russo
A atividade recente do Silver Fox gira em torno de uma tentativa estratégica de enganar analistas, imitando grupos de ameaças russos. Para reforçar essa ilusão, os atacantes incorporam elementos cirílicos em componentes modificados do ValleyRAT e até mesmo empacotam arquivos maliciosos com convenções de nomenclatura em estilo russo. Essa manobra intencional de desinformação dificulta a atribuição de responsabilidade, ao mesmo tempo que permite ao grupo perseguir objetivos financeiros e geopolíticos.
Envenenamento de SEO e iscas com tema de equipes
Desde novembro de 2025, a Silver Fox vem conduzindo uma campanha de manipulação de mecanismos de busca (SEO) direcionada a vítimas que pesquisam pelo Microsoft Teams. Diferentemente de operações anteriores que abusavam de ferramentas como Chrome, Telegram, WPS Office e DeepSeek, esta onda se concentra exclusivamente no Teams.
Resultados de busca comprometidos direcionam os usuários para um site fraudulento que se passa por uma página legítima de download do Teams. Em vez do software genuíno, as vítimas recebem um arquivo ZIP chamado 'MSTчamsSetup.zip' hospedado na Alibaba Cloud. Os caracteres cirílicos no nome do arquivo reforçam a narrativa de falsa bandeira.
Instalador Trojanizado e Implantação Oculta
Dentro do arquivo ZIP encontra-se o Setup.exe, um instalador do Teams adulterado, projetado para iniciar uma invasão em várias etapas. Ao ser executado, ele realiza verificações de ambiente, busca por binários associados a uma ferramenta de segurança específica e altera as configurações do Microsoft Defender adicionando regras de exclusão. Ele também instala um instalador da Microsoft manipulado — 'Verifier.exe' — no diretório AppData\Local do usuário e o executa para manter o fluxo de infecção.
O malware prossegue gerando vários arquivos auxiliares nas pastas AppData\Local e AppData\Roaming. Em seguida, carrega dados de configuração desses arquivos e injeta uma DLL maliciosa no rundll32.exe, um componente confiável do Windows, permitindo que o malware se misture perfeitamente aos processos legítimos.
Ativação do ValleyRAT (Winos 4.0)
A etapa final resulta na implantação do ValleyRAT, um derivado do Gh0st RAT. Uma vez ativo, ele permite a execução remota de comandos, vigilância persistente, roubo de dados e controle total do sistema. Embora as variantes do Gh0st RAT sejam comumente atribuídas a grupos cibercriminosos chineses, a inclusão de elementos russos no projeto Silver Fox tenta desviar a culpa.
Objetivos finais e impacto
As operações da Silver Fox servem a propósitos financeiros e de coleta de informações. O grupo busca lucro por meio de fraudes, golpes e roubos, além de coletar informações sensíveis que podem fornecer influência geopolítica. As vítimas enfrentam consequências imediatas.
- Roubo de dados e exposição de informações confidenciais.
- Prejuízos financeiros decorrentes de fraude ou atividade não autorizada.
- Comprometimento a longo prazo dos sistemas e redes internas.
Por que essa operação de falsa bandeira é importante
Ao imitar um grupo de ameaças estrangeiro, o Silver Fox mantém uma negação plausível e opera sem o escrutínio normalmente direcionado a entidades patrocinadas por estados. Essa sofisticada estratégia de evasão, combinada com uma cadeia de infecção em constante evolução, ressalta a necessidade de maior vigilância, defesas de endpoints reforçadas e monitoramento contínuo, especialmente para organizações que operam em regiões frequentemente alvo de ameaças cibernéticas complexas.
