Chiến dịch phần mềm độc hại Silver Fox ValleyRAT

Một tác nhân đe dọa hoạt động dưới danh nghĩa Silver Fox đã phát động một chiến dịch đánh dấu cờ giả tinh vi được thiết kế để ngụy trang hoạt động của mình thành một nhóm người dùng Nga. Chiến dịch này tập trung vào người dùng nói tiếng Trung Quốc, bao gồm cả nhân viên của các tổ chức phương Tây có mặt tại Trung Quốc, và chủ yếu dựa vào thao túng công cụ tìm kiếm và trình cài đặt Microsoft Teams giả mạo để phát tán một trojan truy cập từ xa khét tiếng.

Ngụy trang thành một diễn viên người Nga

Hoạt động gần đây của Silver Fox xoay quanh một nỗ lực chiến lược nhằm đánh lừa các nhà phân tích bằng cách bắt chước các nhóm đe dọa của Nga. Để củng cố ảo tưởng này, những kẻ tấn công đã nhúng các ký tự Cyrillic vào các thành phần ValleyRAT đã được sửa đổi và thậm chí đóng gói các tệp độc hại với quy ước đặt tên theo kiểu Nga. Hành động đánh lạc hướng cố ý này làm phức tạp việc xác định danh tính, đồng thời cho phép nhóm theo đuổi các mục tiêu có động cơ tài chính và địa chính trị.

Đầu độc SEO và các mồi nhử theo chủ đề nhóm

Kể từ tháng 11 năm 2025, Silver Fox đã triển khai một chiến dịch đầu độc tối ưu hóa công cụ tìm kiếm (SEO) được thiết kế để dụ dỗ nạn nhân tìm kiếm Microsoft Teams. Không giống như các chiến dịch trước đây lạm dụng các công cụ như Chrome, Telegram, WPS Office và DeepSeek, đợt tấn công này chỉ tập trung vào Teams.

Kết quả tìm kiếm bị xâm phạm sẽ dẫn người dùng đến một trang web lừa đảo giả mạo trang tải xuống Teams hợp lệ. Thay vì phần mềm chính hãng, nạn nhân nhận được một tệp ZIP có tên 'MSTчamsSetup.zip' được lưu trữ trên Alibaba Cloud. Các ký tự Cyrillic trong tên tệp càng củng cố thêm lời đồn thổi về việc đánh dấu cờ giả.

Trình cài đặt Trojanized và triển khai ẩn

Bên trong tệp ZIP là Setup.exe, một trình cài đặt Teams đã được chỉnh sửa để khởi tạo một cuộc xâm nhập nhiều giai đoạn. Sau khi thực thi, nó sẽ kiểm tra môi trường, quét các tệp nhị phân liên quan đến một công cụ bảo mật cụ thể và can thiệp vào cài đặt Microsoft Defender bằng cách thêm các quy tắc loại trừ. Nó cũng thả một trình cài đặt Microsoft đã bị thao túng - 'Verifier.exe', vào thư mục AppData\Local của người dùng và khởi chạy nó để duy trì luồng lây nhiễm.

Phần mềm độc hại tiếp tục tạo ra một số tệp phụ trợ trên AppData\Local và AppData\Roaming. Sau đó, nó tải dữ liệu cấu hình từ các tệp này và chèn một DLL độc hại vào rundll32.exe, một thành phần đáng tin cậy của Windows, cho phép phần mềm độc hại hòa nhập liền mạch với các quy trình hợp pháp.

Kích hoạt ValleyRAT (Winos 4.0)

Giai đoạn cuối cùng dẫn đến việc triển khai ValleyRAT, một biến thể của Gh0st RAT. Khi được kích hoạt, nó cho phép thực thi lệnh từ xa, giám sát liên tục, đánh cắp dữ liệu và kiểm soát toàn bộ hệ thống. Mặc dù các biến thể Gh0st RAT thường được cho là do các nhóm tội phạm mạng Trung Quốc gây ra, việc Silver Fox đưa các thành phần Nga vào danh sách nhằm mục đích chuyển hướng trách nhiệm.

Mục tiêu cuối cùng và tác động

Hoạt động của Silver Fox phục vụ cả mục đích tài chính lẫn thu thập thông tin tình báo. Nhóm này theo đuổi lợi nhuận thông qua gian lận, lừa đảo và trộm cắp, đồng thời thu thập thông tin nhạy cảm có thể tạo ra đòn bẩy địa chính trị. Nạn nhân phải đối mặt với hậu quả tức thời:

• Trộm cắp dữ liệu và tiết lộ thông tin bí mật.
• Tổn thất tài chính do gian lận hoặc hoạt động trái phép.
• Sự xâm phạm lâu dài của hệ thống và mạng nội bộ.

Tại sao lá cờ giả này lại quan trọng

Bằng cách bắt chước một nhóm đe dọa nước ngoài, Silver Fox duy trì khả năng phủ nhận hợp lý và hoạt động mà không bị giám sát chặt chẽ như thường lệ đối với các thực thể do nhà nước bảo trợ. Chiến lược né tránh tinh vi này, kết hợp với chuỗi lây nhiễm đang phát triển, nhấn mạnh sự cần thiết phải nâng cao cảnh giác, tăng cường phòng thủ điểm cuối và giám sát liên tục, đặc biệt là đối với các tổ chức hoạt động tại các khu vực thường xuyên bị nhắm mục tiêu bởi các mối đe dọa mạng phức tạp.