Kampanya sa Malware ng Silver Fox ValleyRAT
Isang banta na aktor na nagpapatakbo sa ilalim ng pangalang Silver Fox ay naglunsad ng isang detalyadong operasyong false-flag na idinisenyo upang ikubli ang aktibidad nito bilang isang pangkat ng Russia. Nakatuon ang kampanya sa mga gumagamit na nagsasalita ng Chinese, kabilang ang mga empleyado ng mga organisasyong Kanluranin na may presensya sa China, at lubos na umaasa sa pagmamanipula ng search engine at mga pekeng installer ng Microsoft Teams upang maghatid ng isang kilalang remote access trojan.
Talaan ng mga Nilalaman
Nakabalabal bilang isang Russian Actor
Ang kamakailang aktibidad ng Silver Fox ay umiikot sa isang madiskarteng pagtatangka na linlangin ang mga analyst sa pamamagitan ng paggaya sa mga grupo ng pagbabanta ng Russia. Upang palakasin ang ilusyong ito, ang mga umaatake ay nag-embed ng mga Cyrillic na elemento sa binagong mga bahagi ng ValleyRAT at kahit na nag-package ng mga nakakahamak na file na may naka-istilong Russian na mga kombensiyon sa pagbibigay ng pangalan. Ang intensyonal na maling direksyong ito ay nagpapalubha sa pagpapatungkol habang pinapayagan ang grupo na ituloy ang mga layuning pinansyal at geopolitically motivated.
SEO Poisoning at Mga Pang-akit na May Temang Koponan
Mula noong Nobyembre 2025, ang Silver Fox ay nagpapatakbo ng isang search engine optimization (SEO) poisoning campaign na iniakma upang akitin ang mga biktima na naghahanap ng Microsoft Teams. Hindi tulad ng mga nakaraang operasyon na inabuso ang mga tool gaya ng Chrome, Telegram, WPS Office, at DeepSeek, ang wave na ito ay nakatuon lamang sa Mga Koponan.
Ang mga nakompromisong resulta ng paghahanap ay nagdidirekta sa mga user sa isang mapanlinlang na website na nagpapanggap bilang isang lehitimong pahina ng pag-download ng Mga Koponan. Sa halip na tunay na software, ang mga biktima ay tumatanggap ng ZIP archive na pinangalanang 'MSTчamsSetup.zip' na naka-host sa Alibaba Cloud. Ang mga Cyrillic na character sa filename ay nagpapatibay sa false-flag narrative.
Trojanized Installer at Stealthy Deployment
Nasa loob ng ZIP file ang Setup.exe, isang na-doktor na installer ng Teams na ininhinyero upang simulan ang isang multi-stage na kompromiso. Sa pagpapatupad, nagsasagawa ito ng mga pagsusuri sa kapaligiran, pag-scan para sa mga binary na nauugnay sa isang partikular na tool sa seguridad, at pakikialam sa mga setting ng Microsoft Defender sa pamamagitan ng pagdaragdag ng mga panuntunan sa pagbubukod. Nag-drop din ito ng manipuladong Microsoft installer - 'Verifier.exe,' sa AppData\Local na direktoryo ng user at inilulunsad ito upang mapanatili ang daloy ng impeksyon.
Nagpapatuloy ang malware sa pamamagitan ng pagbuo ng ilang mga auxiliary file sa AppData\Local at AppData\Roaming. Pagkatapos ay naglo-load ito ng data ng configuration mula sa mga file na ito at nag-inject ng nakakahamak na DLL sa rundll32.exe, isang pinagkakatiwalaang bahagi ng Windows, na nagpapahintulot sa malware na maghalo nang walang putol sa mga lehitimong proseso.
Pag-activate ng ValleyRAT (Winos 4.0)
Ang huling yugto ay nagreresulta sa pag-deploy ng ValleyRAT, isang derivative ng Gh0st RAT. Kapag aktibo na, binibigyang-daan nito ang malayuang pagpapatupad ng mga utos, patuloy na pagsubaybay, pagnanakaw ng data, at buong kontrol sa system. Bagama't karaniwang iniuugnay ang mga variant ng Gh0st RAT sa mga cybercriminal group ng China, ang pagsasama ng Silver Fox ng mga elemento ng Russia ay sumusubok na i-redirect ang sisihin.
Mga Layunin at Epekto ng Wakas
Ang mga operasyon ng Silver Fox ay nagsisilbi sa mga layuning pinansyal at pangangalap ng katalinuhan. Ang grupo ay naghahangad ng kita sa pamamagitan ng pandaraya, mga scam, at pagnanakaw, habang kumukuha din ng sensitibong impormasyon na maaaring magbigay ng geopolitical leverage. Ang mga biktima ay nahaharap sa mga agarang kahihinatnan:
- Pagnanakaw ng data at pagkakalantad ng kumpidensyal na impormasyon.
- Mga pagkalugi sa pananalapi mula sa pandaraya o hindi awtorisadong aktibidad.
- Pangmatagalang kompromiso ng mga panloob na sistema at network.
Bakit Mahalaga ang Maling Watawat na Ito
Sa pamamagitan ng panggagaya sa isang banyagang grupo ng pagbabanta, ang Silver Fox ay nagpapanatili ng kapani-paniwalang pagkakatanggi at nagpapatakbo nang walang pagsisiyasat na karaniwang nakadirekta sa mga entity na inisponsor ng estado. Ang sopistikadong diskarte sa pag-iwas na ito, na sinamahan ng isang umuusbong na chain ng impeksyon, ay binibigyang-diin ang pangangailangan para sa mas mataas na pagbabantay, pinalakas na mga panlaban sa endpoint, at patuloy na pagsubaybay, lalo na para sa mga organisasyong tumatakbo sa mga rehiyong madalas na tinatarget ng mga kumplikadong banta sa cyber.
