Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Silver Fox ги таргетира индиските корисници со е-пошта со даночна тематика, доставувајќи малициозен софтвер ValleyRAT

Објавено: 31.12.2025

Заканувачкиот актер познат како Silver Fox го насочи својот фокус кон Индија, користејќи мамки поврзани со данок на доход во фишинг кампањи за дистрибуција на модуларен тројанец за далечински пристап наречен ValleyRAT (познат и како Winos 4.0).

„Овој софистициран напад користи комплексен kill chain кој вклучува DLL hijacking и модуларниот ValleyRAT за да обезбеди перзистентност,“ изјавија истражувачите од CloudSEK, Prajwal Awasthi и Koushik Pal, во анализа објавена минатата недела.

Исто така следен под имињата SwimSnake, The Great Thief of Valley (или Valley Thief), UTG-Q-1000 и Void Arachne, Silver Fox е назив даден на агресивна сајбер-криминална група од Кина која е активна од 2022 година.

Групата има историја на организирање различни кампањи чии мотиви се движат од шпионажа и собирање разузнавачки податоци, до финансиска добивка, крипто-рударење и оперативна саботажа, што ја прави една од ретките хакерски групи со повеќеслоен пристап кон нападите.

Иако првенствено била фокусирана на кинеско-говорни поединци и организации, жртвите на Silver Fox со текот на времето се прошириле и на организации од јавниот, финансискиот, медицинскиот и технолошкиот сектор. Нападите што ги спроведува групата користат SEO poisoning и фишинг за испорака на варијанти на Gh0st RAT, како што се ValleyRAT, Gh0stCringe и HoldingHands RAT (познат и како Gh0stBins).

Во ланецот на инфекција документиран од CloudSEK, фишинг е-пораки со мамка во форма на PDF документи, наводно испратени од Индиската даночна управа, се користат за испорака на ValleyRAT. Поточно, отворањето на PDF прилогот го пренасочува примачот кон доменот „ggwk[.]cc“, од каде што се презема ZIP архива („tax affairs.zip“).

Во архивата се наоѓа инсталер базиран на Nullsoft Scriptable Install System (NSIS) со истото име („tax affairs.exe“), кој потоа користи легитимна извршна датотека поврзана со Thunder („thunder.exe“), менаџер за преземања за Windows развиен од Xunlei, како и злонамерна DLL датотека („libexpat.dll“) која се вчитува преку sideloading.

DLL датотеката, од своја страна, ја оневозможува услугата Windows Update и служи како канал за Donut loader, но не пред да изврши различни анти-анализни и анти-sandbox проверки за да се осигури дека малициозниот софтвер може непречено да работи на компромитираниот систем. Потоа, lander-от го инјектира конечниот ValleyRAT payload во „испразнет“ (hollowed) процес „explorer.exe“.

ValleyRAT е дизајниран да комуницира со надворешен сервер и да чека понатамошни команди. Тој имплементира архитектура базирана на приклучоци (plugins) за динамично проширување на својата функционалност, овозможувајќи им на операторите да распоредуваат специјализирани можности за keylogging, крадење акредитиви и избегнување на безбедносни механизми.

„Приклучоците сместени во регистарот и одложеното beaconing му овозможуваат на RAT-от да преживее рестартирања, додека останува со низок шум,“ соопшти CloudSEK. „Испораката на модули по барање овозможува таргетирано крадење акредитиви и надзор, прилагодени според улогата и вредноста на жртвата.“

Откритието доаѓа во време кога NCC Group соопшти дека идентификувал изложен панел за управување со линкови („ssl3[.]space“) што го користи Silver Fox за следење на активноста на преземање поврзана со злонамерни инсталери за популарни апликации, вклучувајќи Microsoft Teams, со цел испорака на ValleyRAT. Услугата содржи информации поврзани со:

  • веб-страници што хостираат backdoor инсталер апликации
  • бројот на кликови што копчето за преземање на фишинг-сајт ги добива дневно
  • вкупниот број кликови што копчето за преземање ги има добиено од лансирањето

Лажните веб-страници креирани од Silver Fox се утврдени дека се претставуваат како CloudChat, FlyVPN, Microsoft Teams, OpenVPN, QieQie, Santiao, Signal, Sigua, Snipaste, Sogou, Telegram, ToDesk, WPS Office и Youdao, меѓу други. Анализата на изворните IP-адреси што кликнале на линковите за преземање откри дека најмалку 217 кликови потекнуваат од Кина, по што следуваат САД (39), Хонг Конг (29), Тајван (11) и Австралија (7).

„Silver Fox користеше SEO poisoning за дистрибуција на backdoor инсталери за најмалку 20 широко користени апликации, вклучувајќи алатки за комуникација, VPN-и и апликации за продуктивност,“ изјавија истражувачите Dillon Ashmore и Asher Glue. „Овие напади првенствено ги таргетираат кинеско-говорните поединци и организации во Кина, со инфекции што датираат од јули 2025 година, како и дополнителни жртви низ Азија-Пацификот, Европа и Северна Америка.“

Преку овие сајтови се дистрибуира ZIP архива што содржи NSIS-базиран инсталер, кој е одговорен за конфигурирање исклучоци во Microsoft Defender Antivirus, воспоставување перзистентност преку закажани задачи и потоа поврзување со далечински сервер за преземање на ValleyRAT payload-от.

Наодите се совпаѓаат со неодамнешен извештај од ReliaQuest, кој ја припиша хакерската група на false flag операција што имитира руски заканувачки актер во напади насочени кон организации во Кина, користејќи сајтови со мамки поврзани со Teams, со цел да се отежне атрибуцијата.

„Податоците од овој панел покажуваат стотици кликови од континентална Кина и жртви низ Азија-Пацификот, Европа и Северна Америка, што го потврдува опсегот на кампањата и стратешкото таргетирање на кинеско-говорните корисници,“ соопшти NCC Group.

Извори:

  • The Hacker News – Silver Fox Targets Indian Users With Tax-Themed Emails Delivering ValleyRAT Malware The Hacker News