银狐谷RAT恶意软件活动

一个名为“银狐”（Silver Fox）的威胁组织发起了一场精心策划的“伪旗行动”，旨在将其活动伪装成俄罗斯组织的所作所为。该行动主要针对讲中文的用户，包括在华设有分支机构的西方机构的员工，并大量利用搜索引擎操纵和伪造的微软Teams安装程序来传播一种臭名昭著的远程访问木马程序。

伪装成俄罗斯演员

Silver Fox 近期的活动围绕着一项旨在通过模仿俄罗斯威胁组织来误导分析人员的战略性尝试展开。为了强化这种假象，攻击者在修改后的 ValleyRAT 组件中嵌入西里尔字母，甚至使用俄语命名规则打包恶意文件。这种蓄意误导使得溯源工作变得复杂，同时也使该组织能够实现其出于经济和地缘政治目的的目标。

SEO投机和团队主题诱饵

自 2025 年 11 月以来，Silver Fox 一直在开展一项搜索引擎优化 (SEO) 恶意攻击活动，旨在诱骗搜索 Microsoft Teams 的用户。与之前滥用 Chrome、Telegram、WPS Office 和 DeepSeek 等工具的攻击不同，此次攻击仅针对 Teams。

被篡改的搜索结果会将用户引导至一个伪装成合法 Teams 下载页面的欺诈网站。受害者收到的并非真正的软件，而是一个名为“MSTчamsSetup.zip”的 ZIP 压缩文件，该文件托管在阿里云上。文件名中的西里尔字母强化了这种欺骗性。

木马化安装程序和隐蔽部署

ZIP 文件中包含 Setup.exe，这是一个经过篡改的 Teams 安装程序，旨在启动多阶段入侵。执行后，它会进行环境检查，扫描与特定安全工具关联的二进制文件，并通过添加排除规则来篡改 Microsoft Defender 设置。它还会将一个经过修改的 Microsoft 安装程序“Verifier.exe”放入用户的 AppData\Local 目录并启动它，以维持感染流程。

该恶意软件会继续在 AppData\Local 和 AppData\Roaming 目录下生成多个辅助文件。然后，它会从这些文件中加载配置数据，并将恶意 DLL 注入到受信任的 Windows 组件 rundll32.exe 中，从而使恶意软件能够与合法进程无缝融合。

ValleyRAT（Winos 4.0）的激活

最后阶段会部署 ValleyRAT，它是 Gh0st RAT 的衍生版本。一旦激活，它就能远程执行命令、持续监视、窃取数据并完全控制系统。虽然 Gh0st RAT 的变种通常被认为是中国网络犯罪团伙所为，但 Silver Fox 引入俄罗斯元素试图转移责任。

最终目标和影响

“银狐”组织的运作兼具经济和情报搜集的双重目的。该组织通过欺诈、诈骗和盗窃牟利，同时窃取可能带来地缘政治影响力的敏感信息。受害者将面临直接的后果：

• 数据盗窃和机密信息泄露。
• 欺诈或未经授权的活动造成的经济损失。
• 内部系统和网络的长期损害。

为什么这次伪旗行动如此重要

通过模仿外国威胁组织，Silver Fox得以保持可信的否认状态，并免受通常针对国家支持实体的审查。这种复杂的规避策略，加上不断演变的感染链，凸显了提高警惕、加强终端防御和持续监控的必要性，尤其对于那些在经常遭受复杂网络威胁的地区运营的组织而言更是如此。