Kampanj mot skadlig programvara i Silver Fox Valley (RAT)
En hotaktör som verkar under namnet Silver Fox har lanserat en omfattande falskflaggningsoperation utformad för att dölja sin aktivitet som en rysk grupps. Kampanjen fokuserar på kinesisktalande användare, inklusive anställda i västerländska organisationer med närvaro i Kina, och förlitar sig i hög grad på sökmotormanipulation och förfalskade Microsoft Teams-installationsprogram för att leverera en välkänd fjärråtkomsttrojan.
Innehållsförteckning
Klädd som en rysk skådespelare
Silver Fox senaste aktivitet kretsar kring ett strategiskt försök att vilseleda analytiker genom att härma ryska hotgrupper. För att förstärka denna illusion bäddar angriparna in kyrilliska element i modifierade ValleyRAT-komponenter och paketerar till och med skadliga filer med namngivningskonventioner i rysk stil. Denna avsiktliga vilseledande hantering komplicerar tillskrivningen samtidigt som den tillåter gruppen att sträva efter ekonomiskt och geopolitiskt motiverade mål.
SEO-förgiftning och lockbete med teamtema
Sedan november 2025 har Silver Fox drivit en SEO-förgiftningskampanj (sökmotoroptimering) skräddarsydd för att locka offer som söker efter Microsoft Teams. Till skillnad från tidigare operationer som missbrukat verktyg som Chrome, Telegram, WPS Office och DeepSeek fokuserar denna våg enbart på Teams.
Komprometterade sökresultat leder användare till en bedräglig webbplats som utger sig för att vara en legitim Teams-nedladdningssida. Istället för äkta programvara får offren ett ZIP-arkiv med namnet 'MSTчamsSetup.zip' som finns på Alibaba Cloud. De kyrilliska tecknen i filnamnet förstärker den falskflaggade berättelsen.
Trojaniserad installationsprogram och smygande distribution
Inuti ZIP-filen finns Setup.exe, ett manipulerat Teams-installationsprogram som är konstruerat för att initiera en flerstegskompromettering. Vid körning utför det miljökontroller, söker efter binärfiler som är associerade med ett specifikt säkerhetsverktyg och manipulerar Microsoft Defender-inställningar genom att lägga till undantagsregler. Det släpper också ett manipulerat Microsoft-installationsprogram - 'Verifier.exe' - i användarens AppData\Local-katalog och startar det för att upprätthålla infektionsflödet.
Den skadliga programvaran fortsätter genom att generera flera hjälpfiler över AppData\Local och AppData\Roaming. Den laddar sedan konfigurationsdata från dessa filer och injicerar en skadlig DLL i rundll32.exe, en betrodd Windows-komponent, vilket gör att den skadliga programvaran kan integreras sömlöst med legitima processer.
Aktivering av ValleyRAT (Winos 4.0)
Det sista steget resulterar i utplaceringen av ValleyRAT, en derivat av Gh0st RAT. När den är aktiv möjliggör den fjärrkörning av kommandon, ihållande övervakning, datastöld och fullständig systemkontroll. Även om Gh0st RAT-varianter ofta tillskrivs kinesiska cyberkriminella grupper, försöker Silver Fox inkludering av ryska element att omdirigera skulden.
Slutmål och effekt
Silver Fox verksamhet tjänar både finansiella syften och syften med underrättelseinsamling. Gruppen strävar efter vinst genom bedrägerier, bedrägerier och stöld, samtidigt som de samlar in känslig information som kan ge geopolitisk påverkan. Offren möter omedelbara konsekvenser:
- Datastöld och exponering av konfidentiell information.
- Ekonomiska förluster till följd av bedrägeri eller obehörig aktivitet.
- Långsiktig kompromiss av interna system och nätverk.
Varför denna falska flagga är viktig
Genom att imitera en utländsk hotgrupp upprätthåller Silver Fox rimlig förnekelse och agerar utan den granskning som vanligtvis riktas mot statligt sponsrade enheter. Denna sofistikerade undvikande strategi, i kombination med en föränderlig infektionskedja, understryker behovet av ökad vaksamhet, stärkta endpoint-försvar och kontinuerlig övervakning, särskilt för organisationer som verkar i regioner som ofta är måltavlor för komplexa cyberhot.
