O grupo criminoso conhecido como Silver Fox passou a focar suas ações na Índia, usando iscas temáticas relacionadas ao imposto de renda em campanhas de phishing para distribuir um trojan modular de acesso remoto chamado ValleyRAT (também conhecido como Winos 4.0).
Pesquisadores da CloudSEK, Prajwal Awasthi e Koushik Pal, destacaram em uma análise publicada recentemente que “esse ataque sofisticado explora uma cadeia complexa de atividades, incluindo DLL hijacking e o modular ValleyRAT, para garantir persistência no sistema infectado”.
Silver Fox, também rastreado sob nomes como SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 e Void Arachne, é uma gangue cibercriminosa agressiva originária da China, ativa desde 2022.
Sua atuação inclui campanhas com motivações variadas, que vão da espionagem e coleta de inteligência ao ganho financeiro, mineração de criptomoedas e interrupção operacional.
Isso torna o grupo um dos poucos a adotar uma abordagem multifacetada em suas invasões.
Embora tenha começado focando em indivíduos e organizações de língua chinesa, o alcance do Silver Fox se expandiu para os setores público, financeiro, médico e de tecnologia.
Em suas campanhas, o grupo utiliza técnicas como SEO poisoning e phishing para distribuir variantes do Gh0st RAT, como ValleyRAT, Gh0stCringe e HoldingHands RAT (também conhecido como Gh0stBins).
A cadeia de infecção documentada pela CloudSEK começa com e-mails de phishing contendo PDFs falsos, supostamente enviados pelo Departamento de Imposto de Renda da Índia.
A abertura desses anexos direciona o usuário ao domínio "ggwk[.]cc", onde é feito o download de um arquivo ZIP chamado "tax affairs.zip".
Dentro desse arquivo está um instalador NSIS (Nullsoft Scriptable Install System) com o mesmo nome (“tax affairs.exe”), que explora um executável legítimo relacionado ao Thunder ("thunder.exe") — um gerenciador de downloads para Windows desenvolvido pela Xunlei — junto a uma DLL maliciosa (“libexpat.dll”) carregada indevidamente pelo executável.
Essa DLL desativa o serviço Windows Update e atua como intermediária de um loader chamado Donut.
Antes disso, realiza diversas verificações anti-análise e anti-sandbox para garantir que o malware funcione livremente na máquina comprometida.
Por fim, o payload final do ValleyRAT é injetado em um processo “explorer.exe” esvaziado.
O ValleyRAT se comunica com um servidor externo, aguardando comandos adicionais.
Sua arquitetura baseada em plugins permite estender funcionalidades conforme necessário, possibilitando ações como keylogging, captura de credenciais e evasão de defesas.
De acordo com a CloudSEK, “plugins residentes no registro do Windows e o atraso no envio dos sinais de atividade (delayed beaconing) permitem que o RAT sobreviva a reinicializações, mantendo atividade discreta.
A entrega de módulos sob demanda possibilita a extração específica de credenciais e vigilância personalizada, dependendo do perfil e do valor da vítima”.
Paralelamente, o NCC Group identificou um painel de gerenciamento de links exposto, denominado "ssl3[.]space", que o Silver Fox utiliza para monitorar downloads de instaladores maliciosos de aplicativos populares, como Microsoft Teams, com o objetivo de distribuir o ValleyRAT.
Esse serviço exibe informações como:
- Páginas web que hospedam os instaladores backdoor
- Número diário de cliques nos botões de download dos sites de phishing
- Número acumulado de cliques desde o lançamento
Os sites fraudulentos criados pelo grupo imitam diversas aplicações conhecidas, incluindo CloudChat, FlyVPN, Microsoft Teams, OpenVPN, Signal, Telegram, WPS Office, entre outras.
A análise dos endereços IP que acessaram os links de download revelou ao menos 217 cliques originados da China, seguidos pelos Estados Unidos (39), Hong Kong (29), Taiwan (11) e Austrália (7).
Pesquisadores Dillon Ashmore e Asher Glue afirmam que “o Silver Fox explorou SEO poisoning para distribuir instaladores backdoor de pelo menos 20 aplicativos amplamente usados, como ferramentas de comunicação, VPNs e softwares de produtividade.
O foco principal são indivíduos e organizações de língua chinesa na China, com infecções detectadas desde julho de 2025 e outras vítimas espalhadas pela Ásia-Pacífico, Europa e América do Norte”.
Os arquivos distribuídos por esses sites incluem um instalador baseado em NSIS que configura exclusões para o Microsoft Defender Antivirus, estabelece persistência por meio de tarefas agendadas e busca o payload do ValleyRAT em servidores remotos.
Essas descobertas coincidem com um relatório recente da ReliaQuest, que atribui ao grupo Silver Fox uma operação de falsa bandeira (false flag), simulando um ator russo em ataques que utilizam sites de isca relacionados ao Microsoft Teams para dificultar a atribuição das infrações.
Segundo o NCC Group, “os dados desse painel exibem centenas de cliques originados da China continental e vítimas na Ásia-Pacífico, Europa e América do Norte, confirmando o alcance da campanha e o direcionamento estratégico a usuários de língua chinesa”.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...