Grupa znana jako Silver Fox skierowała swoje działania na Indie, używając podrobionych wiadomości związanych z urzędem skarbowym do przeprowadzania kampanii phishingowych, których celem jest dystrybucja modułowego trojana dostępu zdalnego ValleyRAT (znanego też jako Winos 4.0).
CloudSEK — w analizie autorstwa Prajwala Awasthiego i Koushika Pala opublikowanej w zeszłym tygodniu — opisał złożony łańcuch ataku, w którym wykorzystano m.in. przejmowanie bibliotek DLL (DLL hijacking) oraz modularny mechanizm ValleyRAT, co pozwala napastnikom uzyskać trwały dostęp do zaatakowanych systemów. Silver Fox, działający od 2022 roku, występuje w raportach także pod nazwami SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 oraz Void Arachne; to agresywna grupa cyberprzestępcza z Chin, która realizuje działania o różnym charakterze — od szpiegostwa i zbierania informacji, przez zysk finansowy i kopanie kryptowalut, po działania mające na celu zakłócenie operacji.
Początkowo skupiona głównie na użytkownikach i organizacjach chińskojęzycznych, kampania Silver Fox rozszerzyła zasięg i obejmuje podmioty z sektora publicznego, finansowego, medycznego oraz technologicznego. Grupa sięga po techniki takie jak SEO poisoning i phishing, aby rozprowadzać różne warianty rodziny Gh0st RAT — w tym ValleyRAT, Gh0stCringe oraz HoldingHands RAT (aka Gh0stBins).
Opisany przez CloudSEK łańcuch infekcji zaczyna się od e‑maili phishingowych z załącznikami w postaci spreparowanych plików PDF podszywających się pod dokumenty indyjskiego urzędu skarbowego. Po otwarciu takiego PDF-a ofiara jest kierowana na domenę ggwk[.]cc, skąd pobierany jest plik ZIP o nazwie „tax affairs.zip”. W archiwum znajduje się instalator NSIS o tej samej nazwie („tax affairs.exe”), który uruchamia legalny plik wykonywalny powiązany z menedżerem pobierania Thunder („thunder.exe”) oraz zagnieżdża złośliwą bibliotekę DLL („libexpat.dll”), którą następuje sideloading.
Rogue DLL wyłącza usługę Windows Update i pełni rolę kanału dla loadera Donut, ale przed tym wykonuje szereg kontroli anty‑analizowych i anty‑sandbox, aby upewnić się, że kod będzie działał swobodnie na zaatakowanym hoście. Końcowy etap infekcji polega na wstrzyknięciu ładunku ValleyRAT do wyczyszczonego (hollowed) procesu explorer.exe.
ValleyRAT łączy się z zewnętrznym serwerem i oczekuje poleceń. Jego konstrukcja opiera się na architekturze pluginów, co pozwala operatorom na dostarczanie modułów rozszerzających funkcjonalność złośliwego oprogramowania — m.in. o mechanizmy keyloggingu, zbierania poświadczeń i omijania zabezpieczeń. Jak zauważył CloudSEK: „wtyczki osadzone w rejestrze i opóźnione beaconing pozwalają RAT‑owi przetrwać restart systemu przy jednoczesnym niskim poziomie hałasu. Dostarczanie modułów na żądanie umożliwia celowane zbieranie poświadczeń i inwigilację dostosowaną do roli i wartości ofiary”.
NCC Group wykryła powiązany element infrastruktury: wystawioną publicznie platformę do zarządzania linkami pod domeną ssl3[.]space, którą Silver Fox wykorzystuje do śledzenia aktywności pobrań związanych ze złośliwymi instalatorami popularnych aplikacji (między innymi Microsoft Teams) służącymi do rozprowadzania ValleyRAT. Panel ten gromadzi dane o stronach internetowych hostujących zainfekowane instalatory, liczbie kliknięć przycisku pobierania na phishingowych stronach w ciągu dnia oraz łącznej liczbie kliknięć od momentu uruchomienia usługi.
Fałszywe witryny tworzone przez Silver Fox podszywały się pod wiele znanych aplikacji — w tym CloudChat, FlyVPN, Microsoft Teams, OpenVPN, QieQie, Santiao, Signal, Sigua, Snipaste, Sogou, Telegram, ToDesk, WPS Office i Youdao. Analiza adresów IP, które kliknęły linki pobrań, wykazała co najmniej 217 kliknięć pochodzących z Chin, 39 ze Stanów Zjednoczonych, 29 z Hongkongu, 11 z Tajwanu oraz 7 z Australii.
„Silver Fox wykorzystał SEO poisoning do dystrybucji zbackdoorowanych instalatorów co najmniej 20 powszechnie używanych aplikacji, w tym narzędzi komunikacyjnych, VPN‑ów i aplikacji biurowych” — wskazali badacze Dillon Ashmore i Asher Glue z NCC Group. Według nich kampanie te koncentrują się przede wszystkim na użytkownikach i organizacjach chińskojęzycznych w Chinach, z infekcjami sięgającymi lipca 2025 roku oraz dodatkowymi ofiarami w regionie Azji i Pacyfiku, Europie i Ameryce Północnej.
Pliki dystrybuowane za pośrednictwem tych stron to archiwa ZIP zawierające instalator oparty na NSIS, który m.in. konfiguruje wyłączenia w Microsoft Defender Antivirus, ustanawia trwałość działania za pomocą zadań zaplanowanych (scheduled tasks), a następnie łączy się z serwerem zdalnym, by pobrać ładunek ValleyRAT.
Obserwacje NCC Group pokrywają się z raportem ReliaQuest, który przypisał grupie operację przeprowadzaną pod fałszywą flagą — imitującą aktora zagranicznego o rosyjskim charakterze — w atakach wymierzonych w organizacje w Chinach, wykorzystujących strony podszywające się pod Microsoft Teams w celu utrudnienia ustalenia sprawcy. Jak podsumowała NCC Group: „dane z tego panelu pokazują setki kliknięć z Chin kontynentalnych oraz ofiary w regionie Azji i Pacyfiku, Europie i Ameryce Północnej, co potwierdza zasięg kampanii i jej strategiczne ukierunkowanie na użytkowników chińskojęzycznych”.
