銀狐谷RAT惡意軟體活動

一個名為“銀狐”（Silver Fox）的威脅組織發起了一場精心策劃的“偽旗行動”，旨在將其活動偽裝成俄羅斯組織的所作所為。該行動主要針對講中文的用戶，包括在華設有分支機構的西方機構的員工，並大量利用搜尋引擎操縱和偽造的微軟Teams安裝程式來傳播一種臭名昭著的遠端存取木馬程式。

偽裝成俄羅斯演員

Silver Fox 近期的活動圍繞著一項旨在透過模仿俄羅斯威脅組織來誤導分析人員的策略性嘗試。為了強化這種假象，攻擊者在修改後的 ValleyRAT 元件中嵌入西里爾字母，甚至使用俄語命名規則打包惡意檔案。這種蓄意誤導使得溯源工作變得複雜，同時也使該組織能夠實現其出於經濟和地緣政治目的的目標。

SEO投機和團隊主題誘餌

自 2025 年 11 月以來，Silver Fox 一直在進行搜尋引擎優化 (SEO) 惡意攻擊活動，旨在誘騙搜尋 Microsoft Teams 的用戶。與先前濫用 Chrome、Telegram、WPS Office 和 DeepSeek 等工具的攻擊不同，此次攻擊僅針對 Teams。

被竄改的搜尋結果會將使用者引導至偽裝成合法 Teams 下載頁面的詐騙網站。受害者收到的並非真正的軟體，而是一個名為「MSTчamsSetup.zip」的 ZIP 壓縮文件，該文件託管在阿里雲上。文件名中的西里爾字母強化了這種欺騙性。

木馬化安裝程序和隱藏部署

ZIP 檔案中包含 Setup.exe，這是一個經過篡改的 Teams 安裝程序，旨在啟動多階段入侵。執行後，它會進行環境檢查，掃描與特定安全工具關聯的二進位文件，並透過新增排除規則來篡改 Microsoft Defender 設定。它還會將一個經過修改的 Microsoft 安裝程式「Verifier.exe」放入使用者的 AppData\Local 目錄並啟動它，以維持感染流程。

該惡意軟體會繼續在 AppData\Local 和 AppData\Roaming 目錄下產生多個輔助檔案。然後，它會從這些檔案中載入配置數據，並將惡意 DLL 注入到受信任的 Windows 元件 rundll32.exe 中，從而使惡意軟體能夠與合法進程無縫融合。

ValleyRAT（Winos 4.0）的激活

最後階段會部署 ValleyRAT，它是 Gh0st RAT 的衍生版本。一旦激活，它就能遠端執行命令、持續監視、竊取資料並完全控制系統。雖然 Gh0st RAT 的變種通常被認為是中國網路犯罪集團所為，但 Silver Fox 引入俄羅斯元素試圖轉移責任。

最終目標和影響

「銀狐」組織的運作兼具經濟與情報蒐集的雙重目的。該組織透過欺詐、詐騙和盜竊牟利，同時竊取可能帶來地緣政治影響力的敏感資訊。受害者將面臨直接的後果：

• 資料竊取和機密資訊外洩。
• 詐欺或未經授權的活動造成的經濟損失。
• 內部系統和網路的長期損害。

為什麼這次偽旗行動如此重要

透過模仿外國威脅組織，Silver Fox得以保持可信的否認狀態，並免受通常針對國家支持實體的審查。這種複雜的規避策略，加上不斷演變的感染鏈，凸顯了提高警覺、加強終端防禦和持續監控的必要性，尤其對於那些在經常遭受複雜網路威脅的地區運作的組織而言更是如此。