Se ha observado una nueva campaña aprovechando los sitios web falsos que anuncian software popular como WPS Office, Sogou y Deepseek para entregar SainBox Rat y el RootKit oculto de código extenso.
La actividad se ha atribuido con la confianza media a un agrupación de piratería chino llamado Silver Fox (todavía conocido como Void Arachne), citando similitudes en Tradecraft con campañas anteriores atribuidas al actor de amenazas.
Se ha enemigo que los sitios web de phishing (“WPSICE (.) Com”) distribuyen instaladores de MSI maliciosos en el idioma chino, lo que indica que los objetivos de la campaña son hablantes chinos.
“Las cargas aperos de malware incluyen la rata SainBox, una transformación de GH0st RAT y una transformación de la raíz oculta de código extenso”, dijo el investigador de Netskope Amenazas Labs, Leandro Fróes.
Esta no es la primera vez que el actor de amenaza ha recurrido a este modus operandi. En julio de 2024, Esentire detalló una campaña que se dirigió a los usuarios de Windows de deje china con sitios falsos de Google Chrome para entregar GH0ST RAT.
Luego, a principios de febrero, Morphisec reveló otra campaña que todavía aprovechó sitios falsos que anunciaban el navegador web para distribuir Valleyrat (todavía conocido como Winos 4.0), una traducción diferente de GH0st Rat.
Valleyrat fue documentado por primera vez por Proofpoint en septiembre de 2023 como parte de una campaña que todavía destacó a los usuarios de deje china con Sainbox Rat y Purple Fox.

En la última ola de ataque vistida por Netskope, los instaladores de MSI maliciosos descargados de los sitios web están diseñados para divulgar un ejecutable genuino llamado “Shine.exe”, que resuelve un Rogue Dll “libcef.dll” utilizando técnicas de carga supletorio DLL.
El objetivo principal de la DLL es extraer ShellCode de un archivo de texto (“1.txt”) presente en el instalador y luego ejecutarlo, lo que finalmente resulta en la ejecución de otra carga útil de DLL, un troyano de llegada remoto llamado Sainbox.
“La sección .data de la carga útil analizada contiene otro binario PE que puede ejecutarse, dependiendo de la configuración del malware”, explicó Fróes. “El archivo incrustado es un regulador RootKit basado en el esquema de código extenso oculto”.
Si aceptablemente Sainbox viene equipado con capacidades para descargar cargas aperos adicionales y datos de robo, Hidden ofrece a los atacantes una variedad de características sigilosas para ocultar procesos relacionados con malware y las claves de registro de Windows en hosts comprometidos.
“El uso de variantes de ratas de productos básicos, como la rata GH0st, y los raíces de núcleo de código extenso, como oculto, les da a los atacantes control y sigilo sin requerir mucho avance personalizado”, dijo Netskope.