Вредоносная кампания Silver Fox ValleyRAT
Злоумышленник, действующий под псевдонимом Silver Fox, запустил сложную мошенническую операцию, призванную замаскировать свою деятельность под деятельность российской группировки. Кампания ориентирована на пользователей, говорящих по-китайски, включая сотрудников западных организаций, работающих в Китае, и активно использует манипуляции с поисковыми системами и поддельные установщики Microsoft Teams для распространения известного трояна удалённого доступа.
Оглавление
Под видом российского актера
Недавняя активность Silver Fox связана со стратегической попыткой ввести аналитиков в заблуждение, имитируя действия российских группировок. Чтобы усилить эту иллюзию, злоумышленники встраивают кириллические элементы в модифицированные компоненты ValleyRAT и даже упаковывают вредоносные файлы в русскоязычные форматы имён. Такое намеренное введение в заблуждение затрудняет атрибуцию, позволяя группировке преследовать финансово и геополитически мотивированные цели.
SEO-отравление и приманки на тему команд
С ноября 2025 года Silver Fox проводит кампанию по отравлению поисковой оптимизации (SEO), специально разработанную для привлечения жертв, ищущих Microsoft Teams. В отличие от предыдущих операций, в которых использовались такие инструменты, как Chrome, Telegram, WPS Office и DeepSeek, эта волна атак сосредоточена исключительно на Teams.
Взломанные результаты поиска перенаправляют пользователей на мошеннический сайт, выдающий себя за страницу загрузки легитимного Teams. Вместо подлинного программного обеспечения жертвы получают ZIP-архив с именем «MSTчamsSetup.zip», размещённый в облаке Alibaba. Кириллические символы в имени файла усиливают ложную информацию.
Троянизированный установщик и скрытое развертывание
Внутри ZIP-файла находится файл Setup.exe — модифицированный установщик Teams, предназначенный для многоэтапного взлома. При запуске он проверяет среду, ищет двоичные файлы, связанные с определённым средством безопасности, и изменяет настройки Microsoft Defender, добавляя правила исключения. Он также помещает модифицированный установщик Microsoft Verifier.exe в каталог AppData\Local пользователя и запускает его для поддержания потока заражения.
Вредоносная программа продолжает работу, создавая несколько вспомогательных файлов в папках AppData\Local и AppData\Roaming. Затем она загружает данные конфигурации из этих файлов и внедряет вредоносную DLL-библиотеку в rundll32.exe, доверенный компонент Windows, что позволяет вредоносной программе незаметно взаимодействовать с легитимными процессами.
Активация ValleyRAT (Winos 4.0)
На заключительном этапе развёртывается ValleyRAT, производная от Gh0st RAT. После активации она позволяет удалённо выполнять команды, осуществлять постоянное наблюдение, кражу данных и полный контроль над системой. Хотя варианты Gh0st RAT обычно приписываются китайским киберпреступным группировкам, Silver Fox, используя российские элементы, пытается переложить вину на других.
Конечные цели и воздействие
Деятельность Silver Fox преследует как финансовые, так и разведывательные цели. Группировка стремится к наживе посредством мошенничества, афер и краж, а также собирает конфиденциальную информацию, которая может дать геополитическое преимущество. Жертвы сталкиваются с немедленными последствиями:
- Кража данных и раскрытие конфиденциальной информации.
- Финансовые потери от мошенничества или несанкционированной деятельности.
- Долгосрочная компрометация внутренних систем и сетей.
Почему эта операция под ложным флагом имеет значение
Имитируя иностранную группу, Silver Fox сохраняет правдоподобное отрицание своей причастности и действует без того пристального внимания, которое обычно уделяется организациям, спонсируемым государством. Эта сложная стратегия уклонения от контроля в сочетании с развивающейся цепочкой заражения подчёркивает необходимость повышенной бдительности, усиленной защиты конечных точек и постоянного мониторинга, особенно для организаций, работающих в регионах, часто подвергающихся сложным киберугрозам.
