O grupo de cibercrime Silver Fox, com base na China, foi associado a uma nova campanha que mira organizações na Rússia e na Índia com um novo malware chamado ABCDoor.
A atividade envolveu o uso de emails de phishing que imitavam comunicações do Departamento de Imposto de Renda da Índia em dezembro de 2025, seguido de uma campanha semelhante contra entidades russas.
“Ambas as ondas seguiram uma estrutura quase idêntica: os emails de phishing foram formatados como avisos oficiais sobre auditorias fiscais ou levavam os usuários a baixar um arquivo compactado contendo uma ‘lista de violações fiscais’”, informou a Kaspersky.
“Dentro do arquivo havia um loader modificado, baseado em Rust, obtido de um repositório público.
Esse loader baixava e executava o conhecido backdoor ValleyRAT.”
A campanha deve ter afetado organizações dos setores industrial, de consultoria, varejo e transporte.
Mais de 1.600 emails de phishing foram identificados entre o início de janeiro e o começo de fevereiro.
O que chama atenção nessas ondas de phishing é a entrega de um novo plugin do ValleyRAT que funciona como loader para um backdoor em Python até então não documentado, com o codinome ABCDoor.
Segundo a empresa russa de cibersegurança, o backdoor faz parte do arsenal do threat actor desde pelo menos 19 de dezembro de 2024 e passou a ser usado em ataques cibernéticos a partir de fevereiro ou março de 2025.
O ponto de partida da cadeia de ataque é um email de phishing com um arquivo PDF, que traz dois links clicáveis levando ao download de um arquivo ZIP ou RAR hospedado em “abc.haijing88[.]com”.
Na campanha detectada em dezembro de 2025, o código malicioso teria sido incorporado diretamente nos arquivos anexados ao email.
Dentro do arquivo compactado há um executável que se disfarça de PDF.
O binário é uma versão modificada de um framework open source de loader de shellcode e evasão de antivírus chamado RustSL.
O primeiro uso registrado do RustSL pelo Silver Fox remonta ao fim de dezembro de 2025.
O objetivo final da variante RustSL do Silver Fox é descompactar o payload malicioso criptografado, ao mesmo tempo em que aplica geofencing baseado em país e checagens de ambiente para detectar máquinas virtuais e sandboxes.
Enquanto a versão do GitHub inclui apenas a China na lista de países, a variante personalizada traz Índia, Indonésia, África do Sul, Rússia e Camboja.
Foi encontrada ainda uma variante do loader que emprega uma técnica nova, chamada Phantom Persistence, para manter a persistência no host comprometido.
Ela foi documentada pela primeira vez em junho de 2025.
“Esse método abusa de uma funcionalidade criada para permitir que aplicações que precisam de reinicialização para atualizações concluam a instalação corretamente”, explicou a Kaspersky.
“Os atacantes interceptam o sinal de desligamento do sistema, interrompem a sequência normal de encerramento e acionam uma reinicialização sob o pretexto de uma atualização do malware.
Como resultado, o loader força o sistema a executá-lo na inicialização do sistema operacional.”
O payload criptografado carregado pelo RustSL resulta no download do malware ValleyRAT, também conhecido como Winos 4.0, com o componente central “login-module.dll_bin” responsável pela comunicação com o C2, pela execução de comandos e pela recuperação e execução de módulos adicionais.
Um dos módulos personalizados implantados como parte do ataque, após uma segunda checagem de geofencing, é o ABCDoor.
Ele se conecta a um servidor externo via HTTPS e processa mensagens recebidas para manter a persistência, lidar com atualizações e remoção do backdoor, coletar dados como capturas de tela, permitir controle remoto do mouse e do teclado, executar operações no sistema de arquivos, gerenciar processos do sistema e exfiltrar conteúdos da área de transferência.
Em novembro de 2025, o Silver Fox foi visto usando um loader em JavaScript para entregar o ABCDoor, com a distribuição ocorrendo por meio de arquivos autoextraíveis, os SFX, empacotados dentro de arquivos ZIP que provavelmente foram enviados por emails de phishing.
Versões mais recentes do RustSL ampliaram o foco geográfico para incluir o Japão.
O maior número de ataques foi detectado na Índia, Rússia e Indonésia, seguido por África do Sul e Japão.
A maioria das amostras de loader identificadas usava iscas temáticas de impostos para imitar a sequência de infecção.
“Desde 2024, [Silver Fox] evoluiu para um modelo operacional de duas frentes, conduzindo ao mesmo tempo atividades oportunistas de grande escala e lucrativas, além de atividades de espionagem”, disse a S2W.
“Nas fases iniciais, o grupo atacava a China, mas depois ampliou seu escopo operacional para Taiwan e Japão.”
“O grupo Silver Fox utiliza principalmente técnicas altamente personalizadas de spear phishing para a infiltração inicial, empregando cenários de ataque sofisticados e diversificados, ajustados às questões sazonais do país-alvo e às características de trabalho da vítima.”
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...