Se descubrió que un actor de amenazas conocido como Silver Fox estaba orquestando operaciones de bandera falsa que imitaban a los grupos de amenazas rusos en ataques dirigidos a organizaciones chinas.
Las campañas de envenenamiento de optimización de motores de búsqueda (SEO) utilizan señuelos de Microsoft Teams para engañar a usuarios desprevenidos para que descarguen archivos de configuración maliciosos, lo que conduce a la implementación de ValleyRAT (Winos 4.0), un conocido malware asociado con grupos de cibercrimen chinos. Esta actividad se implementa desde noviembre de 2025.
«Esta campaña utiliza un cargador ‘ValleyRAT’ modificado que contiene elementos cirílicos para apuntar a usuarios de habla china, incluidos aquellos dentro de organizaciones occidentales que operan en China. Es probable que sea un movimiento deliberado para engañar a la atribución», dijo el investigador de ReliaQuest, Hayden Evans, en un informe compartido con The Hacker News.
ValleyRAT, una variante de Gh0st RAT, permite a los atacantes controlar de forma remota los sistemas infectados, extraer datos confidenciales, ejecutar comandos arbitrarios y mantener la persistencia a largo plazo dentro de las redes específicas. Vale la pena señalar que el uso de Gh0st RAT es principalmente por parte de grupos de hackers chinos.
El uso de Teams para campañas de envenenamiento de SEO marca un alejamiento de esfuerzos anteriores que aprovecharon otros programas populares como Google Chrome, Telegram, WPS Office y DeepSeek para alimentar cadenas de infección.
Esta campaña de SEO tiene como objetivo redirigir a los usuarios a un sitio web falso con una opción para descargar lo que supuestamente es software Teams. En realidad, se recupera un archivo ZIP llamado «MSTчamsSetup.zip» de la URL de Alibaba Cloud. El archivo utiliza elementos rusos para interrumpir los esfuerzos de atribución.
Dentro del archivo hay una versión troyanizada de Teams llamada ‘Setup.exe’. Está diseñado para escanear procesos en ejecución en busca de archivos binarios relacionados con 360 Total Security (‘360tray.exe’), configurar exclusiones de Microsoft Defender Antivirus y escribir y ejecutar una versión troyanizada del instalador de Microsoft (‘Verifier.exe’) en la ruta ‘AppData\Local\’.
El malware comienza a escribir archivos adicionales como «AppData\Local\Profiler.json», «AppData\Roaming\Embarcadero\GPUCache2.xml», «AppData\Roaming\Embarcadero\GPUCache.xml» y «AppData\Roaming\Embarcadero\AutoRecoverDat.dll».
El siguiente paso es pasar desapercibido cargando datos de ‘Profiler.json’ y ‘GPUcache.xml’ y lanzando una DLL maliciosa en la memoria de un proceso legítimo de Windows, ‘rundll32.exe’. El ataque avanza hasta la etapa final, donde el malware establece una conexión con un servidor externo para recuperar la carga útil final y facilitar el control remoto.
«Los objetivos de Silver Fox incluyen ganancias financieras mediante robo, fraude y fraude, además de recopilar información confidencial para obtener ventajas geopolíticas», dijo Lilliaquest. «Si bien los objetivos enfrentan riesgos inmediatos como violaciones de datos, pérdidas financieras y compromiso del sistema, SilverFox mantiene una negación plausible y es capaz de operar discretamente sin financiación gubernamental directa».
Esta divulgación se produce cuando Nextron Systems destaca otra cadena de ataque ValleyRAT que utiliza un instalador troyano de Telegram como punto de partida para comenzar un proceso de varios pasos que finalmente distribuye el troyano. Este ataque también es conocido por utilizar la técnica Bring Your Own Vulnerable Driver (BYOVD) para cargar ‘NSecKrnl64.sys’ y finalizar el proceso de la solución de seguridad.
«El instalador establece exclusiones peligrosas de Microsoft Defender, organiza un archivo protegido con contraseña con un binario 7-Zip renombrado y extrae el ejecutable de la segunda etapa», dijo el investigador de seguridad Maurice Fielenbach.
«El orquestador de segunda etapa, men.exe, implementa componentes adicionales en carpetas bajo el perfil de usuario público, manipula los permisos de los archivos para evitar la limpieza y establece la persistencia a través de una tarea programada que ejecuta un script VBE codificado que inicia un cargador de controladores vulnerable y un binario firmado que descarga la DLL ValleyRAT».
Men.exe también es responsable de enumerar los procesos en ejecución e identificar los procesos relacionados con la seguridad de los terminales. También utiliza «NVIDIA.exe» para cargar el controlador vulnerable «NSecKrnl64.sys» para ejecutar ValleyRAT. Además, uno de los componentes clave eliminados por el binario de Orchestrator es ‘bypass.exe’, que permite la escalada de privilegios mediante la omisión del Control de cuentas de usuario (UAC).
«A primera vista, la víctima parece un instalador normal y corriente», afirma Fehrenbach. «El malware almacena archivos en segundo plano, implementa controladores, altera las defensas y finalmente lanza una baliza ValleyRat que mantiene el acceso a largo plazo al sistema».
Source link
