El actor de amenazas conocido como Silver Fox ha cambiado su enfoque a India, utilizando señuelos con temas de impuestos sobre la renta en campañas de phishing para distribuir un troyano modular de acceso remoto llamado ValleyRAT (también conocido como Winos 4.0).
«Este sofisticado ataque utiliza una compleja cadena de destrucción que incluye el secuestro de DLL y un Valley RAT modular para garantizar la persistencia», dijeron los investigadores de CloudSEK Prajwal Awasthi y Koushik Pal en un análisis publicado la semana pasada.
Silver Fox, también rastreado como SwimSnake, The Great Thief of Valley (o Valley Thief), UTG-Q-1000 y Void Arachne, es el nombre asignado a un agresivo grupo de cibercrimen chino que ha estado activo desde 2022.
Tiene un historial de orquestar campañas que van desde espionaje y recopilación de inteligencia hasta ganancias financieras, minería de criptomonedas e interrupción de negocios, lo que lo convierte en uno de los pocos grupos de piratería con un enfoque multifacético a las intrusiones.
De centrarse principalmente en personas y organizaciones de habla china, los esfuerzos de victimización de Silver Fox se han expandido para incluir organizaciones que operan en los sectores público, financiero, sanitario y tecnológico. Los ataques lanzados por este grupo utilizaron envenenamiento y phishing de optimización de motores de búsqueda (SEO) para distribuir variantes de Gh0st RAT como ValleyRAT, Gh0stCringe y HoldingHands RAT (también conocido como Gh0stBins).
En la cadena de infección documentada por CloudSEK, se utiliza un correo electrónico de phishing que contiene un PDF señuelo que supuestamente proviene del Departamento de Impuestos sobre la Renta de la India para implementar ValleyRAT. Específicamente, al abrir un archivo PDF adjunto, el destinatario es dirigido al dominio «ggwk(.)cc», desde el cual se descarga un archivo ZIP («tax Affairs.zip»).
Dentro del archivo hay un instalador de Nullsoft Scriptable Install System (NSIS) con el mismo nombre (‘tax Affairs.exe’). Aprovecha un archivo ejecutable legítimo relacionado con Thunder (‘thunder.exe’), un administrador de descargas para Windows desarrollado por Xunlei y una DLL maliciosa (‘libexpat.dll’) que el binario descarga.
La propia DLL desactiva el servicio Windows Update y actúa como conducto para el cargador de donuts, mientras que se realizan varias comprobaciones antianalíticas y anti-sandboxing para garantizar que el malware pueda ejecutarse sin obstáculos en el host comprometido. Luego, el módulo de aterrizaje inyecta la carga útil final de ValleyRAT en el proceso «explorer.exe» ahuecado.
ValleyRAT está diseñado para comunicarse con servidores externos y esperar más comandos. Implementa una arquitectura orientada a complementos que amplía la funcionalidad de manera ad hoc, lo que permite a los operadores implementar funciones especializadas que facilitan el registro de teclas, la recopilación de credenciales y la evasión de defensa.
«Los complementos residentes en el registro y las balizas retardadas permiten que la RAT sobreviva a los reinicios manteniendo un bajo nivel de ruido», dijo CloudSEK. «La entrega de módulos bajo demanda permite la recopilación y el monitoreo de credenciales específicas adaptadas a los roles y valores de las víctimas».
Esta divulgación se produce después de que NCC Group anunciara que había identificado un panel de administración de enlaces públicos (‘ssl3(.)space’) utilizado por Silver Fox para implementar ValleyRAT para rastrear la actividad de descarga relacionada con instaladores maliciosos de aplicaciones populares como Microsoft Teams. Este servicio aloja información relacionada con:
Páginas web que alojan aplicaciones de instalación de puerta trasera Número de clics recibidos por el botón de descarga del sitio de phishing por día Número acumulado de clics recibidos por el botón de descarga desde su inicio
Se han encontrado sitios falsos creados por Silver Fox que se hacen pasar por CloudChat, FlyVPN, Microsoft Teams, OpenVPN, QieQie, Santiao, Signal, Sigua, Snipaste, Sogou, Telegram, ToDesk, WPS Office, Youdao y más. El análisis de las direcciones IP desde las que se hicieron clic en los enlaces de descarga reveló que al menos 217 clics se originaron en China, seguida de Estados Unidos (39), Hong Kong (29), Taiwán (11) y Australia (7).
«SilverFox utilizó envenenamiento de SEO para distribuir instaladores de puerta trasera para al menos 20 aplicaciones ampliamente utilizadas, incluidas herramientas de comunicación, VPN y aplicaciones de productividad», dijeron los investigadores Dillon Ashmore y Asher Grew en un comunicado. «Estos se dirigen principalmente a personas y organizaciones que hablan mandarín dentro de China, con infecciones que se remontan a julio de 2025, con víctimas adicionales en Asia-Pacífico, Europa y América del Norte».
Los archivos ZIP distribuidos a través de estos sitios contienen un instalador basado en NSIS que es responsable de configurar las exclusiones de Microsoft Defender Antivirus, establecer la persistencia mediante tareas programadas y acceder a servidores remotos para recuperar la carga útil de ValleyRAT.
Este hallazgo es consistente con un informe reciente de ReliaQuest. El informe alega que el grupo de piratas informáticos participó en una operación de bandera falsa que utilizó sitios señuelo relacionados con Teams para imitar a los actores rusos en ataques dirigidos a organizaciones chinas, en un intento de complicar los esfuerzos para identificar la causa.
«Los datos de este panel muestran cientos de clics de víctimas en China continental y Asia Pacífico, Europa y América del Norte, lo que demuestra el alcance de la campaña y su orientación estratégica a los usuarios de habla china», dijo NCC Group.
Source link
