Silver Fox ValleyRAT Kötü Amaçlı Yazılım Kampanyası
Silver Fox adıyla faaliyet gösteren bir tehdit grubu, faaliyetlerini bir Rus grubunun faaliyeti gibi gizlemek için tasarlanmış ayrıntılı bir sahte bayrak operasyonu başlattı. Operasyon, Çin'de faaliyet gösteren Batılı kuruluşların çalışanları da dahil olmak üzere Çince konuşan kullanıcıları hedef alıyor ve iyi bilinen bir uzaktan erişim truva atını yaymak için arama motoru manipülasyonu ve sahte Microsoft Teams yükleyicilerine büyük ölçüde güveniyor.
İçindekiler
Rus bir aktör kılığında
Silver Fox'un son dönemdeki faaliyetleri, Rus tehdit gruplarını taklit ederek analistleri yanıltmaya yönelik stratejik bir girişim etrafında dönüyor. Saldırganlar, bu yanılsamayı güçlendirmek için değiştirilmiş ValleyRAT bileşenlerine Kiril alfabesi unsurları yerleştiriyor ve hatta kötü amaçlı dosyaları Rus tarzı adlandırma kurallarıyla paketliyor. Bu kasıtlı yanıltma, grubun finansal ve jeopolitik hedefleri takip etmesine olanak tanırken, atıfları da zorlaştırıyor.
SEO Zehirlenmesi ve Ekip Temalı Yemler
Silver Fox, Kasım 2025'ten bu yana Microsoft Teams'i arayan kurbanları cezbetmek için tasarlanmış bir arama motoru optimizasyonu (SEO) zehirleme kampanyası yürütüyor. Chrome, Telegram, WPS Office ve DeepSeek gibi araçları kötüye kullanan önceki operasyonların aksine, bu dalga yalnızca Teams'e odaklanıyor.
Tehlikeye atılan arama sonuçları, kullanıcıları meşru bir Teams indirme sayfası gibi görünen sahte bir web sitesine yönlendiriyor. Mağdurlar, orijinal yazılım yerine Alibaba Cloud'da barındırılan 'MSTчamsSetup.zip' adlı bir ZIP arşivi alıyor. Dosya adındaki Kiril alfabesi karakterleri, sahte bayrak iddiasını güçlendiriyor.
Truva Atı Yükleyici ve Gizli Dağıtım
ZIP dosyasının içinde, çok aşamalı bir güvenlik ihlali başlatmak üzere tasarlanmış, değiştirilmiş bir Teams yükleyicisi olan Setup.exe bulunur. Çalıştırıldığında, ortam kontrolleri gerçekleştirir, belirli bir güvenlik aracıyla ilişkili ikili dosyaları tarar ve dışlama kuralları ekleyerek Microsoft Defender ayarlarını bozar. Ayrıca, değiştirilmiş bir Microsoft yükleyicisi olan 'Verifier.exe'yi kullanıcının AppData\Local dizinine bırakır ve enfeksiyon akışını sürdürmek için başlatır.
Kötü amaçlı yazılım, AppData\Local ve AppData\Roaming üzerinde çeşitli yardımcı dosyalar oluşturarak devam eder. Ardından bu dosyalardan yapılandırma verilerini yükler ve güvenilir bir Windows bileşeni olan rundll32.exe'ye kötü amaçlı bir DLL enjekte ederek, kötü amaçlı yazılımın meşru işlemlerle sorunsuz bir şekilde bütünleşmesini sağlar.
ValleyRAT’ın (Winos 4.0) aktivasyonu
Son aşama, Gh0st RAT'ın bir türevi olan ValleyRAT'ın konuşlandırılmasıyla sonuçlanıyor. Etkinleştirildiğinde, uzaktan komut yürütme, sürekli gözetim, veri hırsızlığı ve tam sistem kontrolü sağlıyor. Gh0st RAT varyantları genellikle Çinli siber suç gruplarına atfedilse de, Silver Fox'un Rus unsurlarını dahil etmesi suçu başka yöne çekmeye çalışıyor.
Son Hedefler ve Etki
Silver Fox'un faaliyetleri hem finansal hem de istihbarat toplama amaçlarına hizmet ediyor. Grup, dolandırıcılık, sahtekârlık ve hırsızlık yoluyla kâr elde etmenin yanı sıra, jeopolitik nüfuz sağlayabilecek hassas bilgileri de topluyor. Mağdurlar, anında sonuçlarla karşı karşıya kalıyor:
- Veri hırsızlığı ve gizli bilgilerin ifşası.
- Dolandırıcılık veya yetkisiz faaliyetlerden kaynaklanan maddi kayıplar.
- Dahili sistemlerin ve ağların uzun vadeli tehlikeye atılması.
Bu Sahte Bayrak Neden Önemli?
Silver Fox, yabancı bir tehdit grubunu taklit ederek makul bir inkâr imkânı sağlıyor ve genellikle devlet destekli kuruluşlara yönelik incelemelerden muaf tutuluyor. Bu gelişmiş kaçınma stratejisi, gelişen bir enfeksiyon zinciriyle birleştiğinde, özellikle karmaşık siber tehditlerin sıklıkla hedef aldığı bölgelerde faaliyet gösteren kuruluşlar için daha yüksek teyakkuz, güçlendirilmiş uç nokta savunmaları ve sürekli izleme ihtiyacını vurguluyor.
