El actor de amenazas conocido como Zorro plateado ha centrado su atención en la India, utilizando señuelos con temas de impuestos sobre la renta en campañas de phishing para distribuir un troyano modular de comunicación remoto llamado ValleyRAT (asimismo conocido como Winos 4.0).
“Este sofisticado ataque aprovecha una compleja condena de destrucción que involucra el secuestro de DLL y el Valley RAT modular para asegurar la persistencia”, dijeron los investigadores de CloudSEK Prajwal Awasthi y Koushik Pal en un prospección publicado la semana pasada.
Además rastreado como SwimSnake, The Great Thief of Valley (o Valley Thief), UTG-Q-1000 y Void Arachne, Silver Fox es el nombre asignado a un agresivo agrupación de cibercrimen de China que ha estado activo desde 2022.
Tiene un historial de orquestar una variedad de campañas cuyos motivos van desde el espionaje y la colección de inteligencia hasta ganancias financieras, minería de criptomonedas e interrupción operativa, lo que lo convierte en uno de los pocos equipos de piratería con un enfoque múltiple para su actividad de intrusión.
Centrada principalmente en personas y organizaciones de acento china, la victimología de Silver Fox se ha ampliado para incluir organizaciones que operan en los sectores manifiesto, financiero, médico y tecnológico. Los ataques organizados por el agrupación han utilizado el envenenamiento y el phishing de optimización de motores de búsqueda (SEO) para ofrecer variantes de Gh0st RAT como ValleyRAT, Gh0stCringe y HoldingHands RAT (asimismo conocido como Gh0stBins).
En la condena de infección documentada por CloudSEK, se utilizan correos electrónicos de phishing que contienen archivos PDF señuelo que supuestamente provienen del Área de Impuestos sobre la Renta de la India para implementar ValleyRAT. Específicamente, desobstruir el archivo PDF adjunto lleva al destinatario al dominio “ggwk(.)cc”, desde donde se descarga un archivo ZIP (“tax Affairs.zip”).
Internamente del archivo está presente un instalador del sistema Nullsoft Scriptable Install (NSIS) del mismo nombre (“tax Affairs.exe”), que, a su vez, aprovecha un ejecutable cierto asociado con Thunder (“thunder.exe”), un administrador de descargas para Windows desarrollado por Xunlei y una DLL fraudulenta (“libexpat.dll”) que el binario descarga.
La DLL, por su parte, desactiva el servicio Windows Update y sirve como conducto para un cargador Donut, no sin ayer realizar varias comprobaciones antianálisis y anti-sandbox para asegurar que el malware pueda ejecutarse sin obstáculos en el host comprometido. Luego, el módulo de aterrizaje inyecta la carga útil final de ValleyRAT en un proceso hueco “explorer.exe”.
ValleyRAT está diseñado para comunicarse con un servidor forastero y esperar más comandos. Implementa una casa orientada a complementos para ampliar su funcionalidad de guisa ex profeso, permitiendo así a sus operadores implementar capacidades especializadas para solucionar el registro de teclas, la casa recoleta de credenciales y la despreocupación de defensa.
“Los complementos residentes en el registro y las balizas retardadas permiten que la RAT sobreviva a los reinicios sin dejar de ser silenciosa”, dijo CloudSEK. “La entrega de módulos bajo demanda permite la casa recoleta de credenciales específicas y la vigilancia adaptada al rol y valencia de la víctima”.
La divulgación se produce cuando NCC Group dijo que identificó un panel de suministro de enlaces expuesto (“ssl3(.)space”) utilizado por Silver Fox para rastrear la actividad de descarga relacionada con instaladores maliciosos para aplicaciones populares, incluido Microsoft Teams, para implementar ValleyRAT. El servicio aloja información relacionada con:
- Páginas web que alojan aplicaciones de instalación de puerta trasera
- La cantidad de clics que recibe un clavija de descarga en un sitio de phishing por día.
- Número acumulado de clics que ha recibido un clavija de descarga desde su tiro
Se ha descubierto que los sitios falsos creados por Silver Fox se hacen producirse por CloudChat, FlyVPN, Microsoft Teams, OpenVPN, QieQie, Santiao, Signal, Sigua, Snipaste, Sogou, Telegram, ToDesk, WPS Office y Youdao, entre otros. Un prospección de las direcciones IP de origen que hicieron clic en los enlaces de descarga reveló que al menos 217 clics se originaron en China, seguida de EE. UU. (39), Hong Kong (29), Taiwán (11) y Australia (7).
“Silver Fox aprovechó el envenenamiento de SEO para distribuir instaladores de puerta trasera de al menos 20 aplicaciones ampliamente utilizadas, incluidas herramientas de comunicación, VPN y aplicaciones de productividad”, dijeron los investigadores Dillon Ashmore y Asher Glue. “Estos se dirigen principalmente a personas y organizaciones de acento china en China, con infecciones que se remontan a julio de 2025 y víctimas adicionales en Asia-Pacífico, Europa y América del Ideal”.
Distribuido a través de estos sitios hay un archivo ZIP que contiene un instalador basado en NSIS que es responsable de configurar las exclusiones de Microsoft Defender Antivirus, establecer la persistencia mediante tareas programadas y luego comunicarse con un servidor remoto para recuperar la carga útil de ValleyRAT.
Los hallazgos coinciden con un noticia fresco de ReliaQuest, que atribuyó al agrupación de piratas informáticos a una operación de bandera falsa que imitaba a un actor de amenazas ruso en ataques dirigidos a organizaciones en China que utilizan sitios señuelo relacionados con Teams en un intento de complicar los esfuerzos de atribución.
“Los datos de este panel muestran cientos de clics de China continental y víctimas en Asia-Pacífico, Europa y América del Ideal, lo que valida el radio de la campaña y su orientación estratégica a los usuarios de acento china”, dijo NCC Group.
