Kampaň proti škodlivému softvéru Silver Fox ValleyRAT
Hroziaci aktér pôsobiaci pod názvom Silver Fox spustil prepracovanú operáciu pod falošnou vlajkou, ktorej cieľom je maskovať svoju činnosť ako činnosť ruskej skupiny. Kampaň sa zameriava na čínsky hovoriacich používateľov vrátane zamestnancov západných organizácií pôsobiacich v Číne a na doručenie známeho trójskeho koňa pre vzdialený prístup sa vo veľkej miere spolieha na manipuláciu s vyhľadávačmi a falošné inštalátory Microsoft Teams.
Obsah
V maskovaní ako ruský herec
Nedávna aktivita skupiny Silver Fox sa točí okolo strategického pokusu o zavádzanie analytikov napodobňovaním ruských skupín hrozby. Aby útočníci posilnili túto ilúziu, vkladajú prvky cyriliky do upravených komponentov ValleyRAT a dokonca balia škodlivé súbory s ruskými konvenciami pomenovania. Toto úmyselné zavádzanie komplikuje pripisovanie a zároveň umožňuje skupine sledovať finančne a geopoliticky motivované ciele.
Otrava SEO a návnady s témou Teams
Od novembra 2025 spoločnosť Silver Fox prevádzkuje kampaň zameranú na optimalizáciu pre vyhľadávače (SEO), ktorá je navrhnutá tak, aby nalákala obete hľadajúce Microsoft Teams. Na rozdiel od predchádzajúcich operácií, ktoré zneužívali nástroje ako Chrome, Telegram, WPS Office a DeepSeek, sa táto vlna zameriava výlučne na Teams.
Kompromitované výsledky vyhľadávania presmerujú používateľov na podvodnú webovú stránku, ktorá sa vydáva za legitímnu stránku na stiahnutie aplikácie Teams. Namiesto originálneho softvéru obete dostanú ZIP archív s názvom „MSTчamsSetup.zip“ hostovaný na Alibaba Cloud. Cyrilika v názve súboru posilňuje falošný naratív.
Inštalátor s trójskymi koňmi a nenápadné nasadenie
V súbore ZIP sa nachádza súbor Setup.exe, upravený inštalátor Teams navrhnutý tak, aby inicioval viacstupňové narušenie bezpečnosti. Po spustení vykoná kontroly prostredia, vyhľadá binárne súbory spojené s konkrétnym bezpečnostným nástrojom a upraví nastavenia programu Microsoft Defender pridaním pravidiel vylúčenia. Taktiež umiestni upravený inštalátor spoločnosti Microsoft – „Verifier.exe“ do adresára AppData\Local používateľa a spustí ho, aby udržal tok infekcie.
Malvér pokračuje generovaním niekoľkých pomocných súborov v priečinkoch AppData\Local a AppData\Roaming. Následne načíta konfiguračné údaje z týchto súborov a vloží škodlivú knižnicu DLL do súboru rundll32.exe, dôveryhodnej súčasti systému Windows, čo umožňuje malvéru bezproblémovo sa prelínať s legitímnymi procesmi.
Aktivácia ValleyRAT (Winos 4.0)
Posledná fáza vedie k nasadeniu ValleyRAT, derivátu Gh0st RAT. Po aktivácii umožňuje diaľkové vykonávanie príkazov, trvalý dohľad, krádež údajov a úplnú kontrolu nad systémom. Hoci sa varianty Gh0st RAT bežne pripisujú čínskym kyberzločineckým skupinám, zahrnutie ruských prvkov spoločnosťou Silver Fox sa snaží presmerovať vinu.
Konečné ciele a vplyv
Operácie skupiny Silver Fox slúžia na finančné účely aj na zhromažďovanie spravodajských informácií. Skupina sa snaží o zisk prostredníctvom podvodov, podvodov a krádeží a zároveň zhromažďuje citlivé informácie, ktoré môžu poskytnúť geopolitickú výhodu. Obeťam hrozia okamžité následky:
- Krádež údajov a únik dôverných informácií.
- Finančné straty z podvodu alebo neoprávnenej činnosti.
- Dlhodobé ohrozenie interných systémov a sietí.
Prečo je táto správa pod falošnou vlajkou dôležitá
Napodobňovaním zahraničnej skupiny hrozby si Silver Fox zachováva vierohodnú možnosť popierania a funguje bez kontroly, ktorá je zvyčajne zameraná na štátom sponzorované subjekty. Táto sofistikovaná stratégia úniku v kombinácii s vyvíjajúcim sa reťazcom infekcií zdôrazňuje potrebu zvýšenej ostražitosti, posilnenej ochrany koncových bodov a neustáleho monitorovania, najmä pre organizácie pôsobiace v regiónoch, ktoré sú často terčom komplexných kybernetických hrozieb.
