O grupo de ameaça conhecido como Silver Fox foi identificado conduzindo uma operação de false flag para simular um grupo ligado à Rússia em ataques direcionados a organizações na China.
A campanha utiliza a técnica de SEO poisoning, explorando iscas relacionadas ao Microsoft Teams para enganar usuários desavisados.
O objetivo é induzi-los a baixar um arquivo malicioso que instala o ValleyRAT (também chamado Winos 4.0), malware associado a grupos chineses de cibercrime.
A atividade ocorre desde novembro de 2023.
De acordo com o pesquisador Hayden Evans, da ReliaQuest, a campanha tem como foco usuários que falam chinês, incluindo funcionários de organizações ocidentais com operações na China.
O carregador modificado do ValleyRAT contém elementos em cirílico, estratégia provável para confundir a atribuição do ataque.
O ValleyRAT é uma variante do Gh0st RAT, que permite aos invasores controlar remotamente sistemas infectados, roubar dados sensíveis, executar comandos arbitrários e manter presença prolongada nas redes comprometidas.
Vale destacar que o uso do Gh0st RAT é tradicionalmente associado a grupos hackers chineses.
A escolha do Microsoft Teams nesta campanha marca uma mudança tática, já que ataques anteriores exploravam programas populares como Google Chrome, Telegram, WPS Office e DeepSeek para iniciar a cadeia de infecção.
Durante a campanha de SEO, os usuários são redirecionados para um site falso que oferece o download do suposto Microsoft Teams.
Na verdade, um arquivo ZIP chamado "MSTчamsSetup.zip" é baixado a partir de uma URL da Alibaba Cloud.
O arquivo contém elementos linguísticos russos, reforçando a tentativa de desviar a atribuição.
Dentro dele está o "Setup.exe", uma versão trojanizada do Teams desenvolvida para escanear processos ativos relacionados ao antivírus 360 Total Security ("360tray.exe"), configurar exclusões no Microsoft Defender Antivirus e instalar o instalador trojanizado ("Verifier.exe") no caminho "AppData\Local\", executando-o em seguida.
O malware também cria outros arquivos no sistema, como "Profiler.json" e arquivos XML e DLL dentro da pasta "AppData\Roaming\Embarcadero".
Em seguida, carrega esses dados na memória por meio do processo legítimo "rundll32.exe", dificultando sua detecção.
Na etapa final, o software malicioso se conecta a um servidor externo para baixar o payload definitivo que permitirá o controle remoto do sistema.
Segundo a ReliaQuest, os objetivos do Silver Fox incluem ganhos financeiros por meio de roubos, golpes e fraudes, além da coleta de inteligência sensível para vantagem geopolítica.
Os alvos correm riscos imediatos como vazamento de dados, perdas financeiras e comprometimento de sistemas, enquanto o grupo mantém postura de negação plausível, operando de forma discreta e sem financiamento estatal direto.
Essa revelação surge pouco depois do destaque da Nextron Systems sobre outra cadeia de ataque envolvendo o ValleyRAT, que utiliza um instalador trojanizado do Telegram para iniciar um processo em múltiplas etapas, culminando na entrega do trojan.
Este ataque se diferencia pelo uso da técnica Bring Your Own Vulnerable Driver (BYOVD) para carregar o driver "NSecKrnl64.sys" e interromper processos de soluções de segurança.
O pesquisador Maurice Fielenbach explica que esse instalador cria uma exclusão perigosa no Microsoft Defender, prepara um arquivo protegido por senha junto com um binário renomeado do 7-Zip e extrai um executável para a segunda fase.
Esse orquestrador, chamado men.exe, implanta componentes adicionais em uma pasta no perfil público do usuário, manipula permissões para resistir a limpezas e estabelece persistência via tarefa agendada que executa um script VBE codificado.
O script inicia o carregador do driver vulnerável e um binário assinado que injeta a DLL do ValleyRAT.
Ainda segundo Fielenbach, o men.exe também identifica processos relacionados à segurança do endpoint, carrega o driver vulnerável pelo "NVIDIA.exe" e executa o ValleyRAT.
Um componente importante do orquestrador é o "bypass.exe", que permite elevação de privilégios por meio de um bypass do User Account Control (UAC).
Para o usuário final, o instalador parece legítimo, mas nos bastidores o malware prepara arquivos, implanta drivers, manipula defesas e, por fim, instala um beacon do ValleyRAT que garante acesso prolongado ao sistema.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...