Silver Fox

O grupo de cibercrime conhecido como Silver Fox, originário da China, está direcionando suas campanhas de phishing para a Índia, utilizando iscas relacionadas a impostos de renda para disseminar um trojan modular de acesso remoto chamado ValleyRAT. A análise da CloudSEK revela que esses ataques sofisticados empregam uma cadeia de ataque complexa, incluindo o sequestro de DLLs e a persistência do malware. Os e-mails de phishing contêm PDFs falsos que, ao serem abertos, redirecionam os usuários para um domínio malicioso onde um arquivo ZIP é baixado. Este arquivo contém um instalador que, por sua vez, utiliza um executável legítimo para instalar o ValleyRAT, que se comunica com um servidor externo e pode realizar atividades como registro de teclas e coleta de credenciais. A campanha também se beneficia de técnicas de SEO para distribuir instaladores de backdoor de aplicativos populares, visando principalmente indivíduos e organizações de língua chinesa. A NCC Group identificou um painel de gerenciamento exposto que rastreia a atividade de downloads relacionados a esses instaladores maliciosos, revelando que a maioria dos cliques nos links de download se originou da China, seguida por outros países. Essa situação destaca a necessidade de vigilância e medidas de segurança robustas para mitigar os riscos associados a esses ataques.

O grupo de cibercriminosos conhecido como Silver Fox está realizando uma operação de bandeira falsa, imitando um grupo de ameaças russo em ataques direcionados a organizações na China. Desde novembro de 2025, a campanha de envenenamento de SEO utiliza iscas do Microsoft Teams para enganar usuários desavisados a baixarem um arquivo malicioso que instala o malware ValleyRAT, associado a grupos de cibercrime chineses. A pesquisa da ReliaQuest destaca que a campanha visa usuários que falam chinês, incluindo aqueles em organizações ocidentais na China, utilizando um loader modificado do ValleyRAT com elementos cirílicos para confundir a atribuição. O ValleyRAT permite controle remoto de sistemas infectados, exfiltração de dados sensíveis e execução de comandos arbitrários. A campanha redireciona usuários para um site falso que oferece um suposto software do Teams, mas na verdade baixa um arquivo ZIP malicioso. O malware, uma versão trojanizada do Teams, manipula processos do sistema e estabelece conexões com servidores externos para controle remoto. Os objetivos do Silver Fox incluem ganho financeiro e coleta de inteligência sensível, representando riscos imediatos como vazamentos de dados e perdas financeiras para as organizações-alvo.