Grupa Silver Fox atakuje Indie, wykorzystując wyłudzenia związane z podatkami

Grupa cyberprzestępcza znana jako Silver Fox zmienia kierunek swoich operacji, koncentrując się na Indiach. W ramach kampanii phishingowych wykorzystuje przynęty tematycznie związane z podatkiem dochodowym, aby rozprzestrzeniać modularnego trojana zdalnego dostępu o nazwie ValleyRAT (znanego również jako Winos 4.0).

„Ten zaawansowany atak wykorzystuje skomplikowany łańcuch ataków, w tym hijacking DLL oraz modularnego ValleyRAT, aby zapewnić trwałość” – powiedzieli w analizie opublikowanej w zeszłym tygodniu badacze z CloudSEK, Prajwal Awasthi oraz Koushik Pal.

Silver Fox, znany także jako SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 i Void Arachne, to agresywna grupa cyberprzestępcza z Chin, działająca od 2022 roku. Grupa ma na koncie różnorodne kampanie, których cele obejmują zarówno szpiegostwo, zbieranie informacji, jak i zyski finansowe, wydobywanie kryptowalut oraz zakłócanie operacji. Jest jedną z niewielu ekip hakerskich stosujących wieloaspektowe podejście do intruzji.

Strategia ataków

Pierwotnie skupiona na osobach i organizacjach mówiących po chińsku, Silver Fox rozszerzyła swoje ataki, obejmując organizacje z sektora publicznego, finansowego, medycznego i technologicznego. Ataki prowadzone przez tę grupę wykorzystywały techniki takie jak SEO poisoning i phishing, aby dostarczać różne warianty Gh0st RAT, w tym ValleyRAT, Gh0stCringe oraz HoldingHands RAT (znany również jako Gh0stBins).

W łańcuchu infekcji przedstawionym przez CloudSEK, wiadomości phishingowe zawierają fałszywe pliki PDF, które rzekomo pochodzą z indyjskiego Departamentu Podatków Dochodowych. Otworzenie załącznika PDF prowadzi do pobrania pliku ZIP („tax affairs.zip”) z domeny „ggwk[.]cc”. W archiwum znajduje się instalator Nullsoft Scriptable Install system (NSIS) o tej samej nazwie („tax affairs.exe”).

Właściwości ValleyRAT

Instalator wykorzystuje prawdziwe wykonanie związane z Thunder („thunder.exe”), menedżerem pobierania dla systemu Windows opracowanym przez Xunlei, oraz nielegalny DLL („libexpat.dll”), który jest do niego dołączany. DLL dezaktywuje usługę automatycznej aktualizacji systemu Windows i działa jako łącznik dla ładunku Donut, jednak przed tym wykonuje różnorodne kontrole przeciw analizie i sandboxowaniu, aby zapewnić, że złośliwe oprogramowanie działa bez przeszkód na zainfekowanym hoście. Następnie ładunek ValleyRAT jest wstrzykiwany do procesu „explorer.exe”.

ValleyRAT ma na celu komunikowanie się z zewnętrznym serwerem i oczekiwanie na dalsze polecenia. Implementuje architekturę opartą na wtyczkach, co pozwala na rozszerzanie jego funkcjonalności w ad hoc, co umożliwia operatorom wdrażanie wyspecjalizowanych możliwości ułatwiających kradzież haseł, zbieranie danych uwierzytelniających i unikanie wykrycia.

„Wtyczki rezydujące w rejestrze i opóźnione sygnalizowanie pozwalają RAT przetrwać restarty, pozostając jednocześnie cicho” – zauważyła firma CloudSEK.

Analiza i zidentyfikowane kampanie

Informacje te ukazały się w momencie, gdy grupa NCC ujawniała zidentyfikowanie wystawionego panelu zarządzania linkami („ssl3[.]space”), który jest używany przez Silver Fox do śledzenia aktywności związanej z pobieraniem złośliwych instalatorów popularnych aplikacji, w tym Microsoft Teams, aby wdrażać ValleyRAT. Serwis gromadzi informacje dotyczące:

• Stron internetowych hostujących aplikacje instalacyjne backdoorów
• Liczby kliknięć, jakie przycisk pobierania na stronie phishingowej otrzymuje dziennie
• Cumulative liczby kliknięć, jakie przycisk pobierania otrzymał od momentu uruchomienia

Fałszywe strony stworzone przez Silver Fox przypominały CloudChat, FlyVPN, Microsoft Teams, OpenVPN, QieQie, Santiao, Signal, Sigua, Snipaste, Sogou, Telegram, ToDesk, WPS Office i Youdao, między innymi. Analiza adresów IP, które kliknęły w linki do pobrania, ujawniła, że przynajmniej 217 kliknięć pochodziło z Chin, a kolejne z USA (39), Hongkongu (29), Tajwanu (11) i Australii (7).

„Silver Fox wykorzystał SEO poisoning do dystrybucji instalatorów backdoorów przynajmniej 20 powszechnie używanych aplikacji, w tym narzędzi komunikacyjnych, VPN-ów i aplikacji biurowych” – powiedzieli badacze Dillon Ashmore i Asher Glue. „Ataki te przede wszystkim są wymierzone w osoby i organizacje mówiące po chińsku w Chinach, a infekcje sięgają od lipca 2025 roku, z dodatkowymi ofiarami w regionie Azji-Pacyfiku, Europie i Ameryce Północnej.”

Dystrybuowane przez te strony archiwum ZIP zawiera instalator oparty na NSIS, odpowiedzialny za konfigurowanie wykluczeń w programie Microsoft Defender Antivirus, ustalanie trwałości za pomocą zadań zaplanowanych i następnie łączenie się z zdalnym serwerem, aby pobrać ładunek ValleyRAT.

Odnalezione dane pokrywają się z niedawnym raportem firmy ReliaQuest, która przypisała tej grupie hakerskiej operację fałszywej flagi imitującą rosyjskiego aktora zagrożeń w atakach wymierzonych w organizacje w Chinach, korzystając z przynęt związanych z Teamsem, aby utrudnić identyfikację. „Dane z tego panelu pokazują setki kliknięć z Chin kontynentalnych oraz ofiary w regionie Azji-Pacyfiku, Europie i Ameryce Północnej, co potwierdza zasięg kampanii i strategiczne ukierunkowanie na użytkowników mówiących po chińsku” – powiedział NCC Group.