Silver Fox

Uma campanha ativa de ciberataques tem como alvo usuários de língua chinesa, utilizando domínios com erros de digitação que imitam marcas de software confiáveis para disseminar um novo trojan de acesso remoto chamado AtlasCross RAT. A empresa de cibersegurança Hexastrike identificou que a operação abrange clientes de VPN, mensageiros criptografados, ferramentas de videoconferência e aplicativos de e-commerce, com onze domínios confirmados que se passam por marcas como Surfshark VPN, Signal e Microsoft Teams. A campanha é atribuída ao grupo de cibercrime chinês conhecido como Silver Fox, que evoluiu suas táticas a partir de variantes do Gh0st RAT. Os atacantes criam sites falsos para enganar usuários a baixarem arquivos ZIP que contêm instaladores trojanizados. O AtlasCross RAT possui capacidades avançadas, incluindo injeção de DLL em WeChat e manipulação de sessões RDP, além de técnicas de evasão de segurança. A descoberta deste malware destaca a crescente sofisticação das ameaças cibernéticas, com implicações significativas para a segurança de dados e a conformidade com a LGPD no Brasil.

O grupo de cibercrime conhecido como Silver Fox, originário da China, está direcionando suas campanhas de phishing para a Índia, utilizando iscas relacionadas a impostos de renda para disseminar um trojan modular de acesso remoto chamado ValleyRAT. A análise da CloudSEK revela que esses ataques sofisticados empregam uma cadeia de ataque complexa, incluindo o sequestro de DLLs e a persistência do malware. Os e-mails de phishing contêm PDFs falsos que, ao serem abertos, redirecionam os usuários para um domínio malicioso onde um arquivo ZIP é baixado. Este arquivo contém um instalador que, por sua vez, utiliza um executável legítimo para instalar o ValleyRAT, que se comunica com um servidor externo e pode realizar atividades como registro de teclas e coleta de credenciais. A campanha também se beneficia de técnicas de SEO para distribuir instaladores de backdoor de aplicativos populares, visando principalmente indivíduos e organizações de língua chinesa. A NCC Group identificou um painel de gerenciamento exposto que rastreia a atividade de downloads relacionados a esses instaladores maliciosos, revelando que a maioria dos cliques nos links de download se originou da China, seguida por outros países. Essa situação destaca a necessidade de vigilância e medidas de segurança robustas para mitigar os riscos associados a esses ataques.

O grupo de cibercriminosos conhecido como Silver Fox está realizando uma operação de bandeira falsa, imitando um grupo de ameaças russo em ataques direcionados a organizações na China. Desde novembro de 2025, a campanha de envenenamento de SEO utiliza iscas do Microsoft Teams para enganar usuários desavisados a baixarem um arquivo malicioso que instala o malware ValleyRAT, associado a grupos de cibercrime chineses. A pesquisa da ReliaQuest destaca que a campanha visa usuários que falam chinês, incluindo aqueles em organizações ocidentais na China, utilizando um loader modificado do ValleyRAT com elementos cirílicos para confundir a atribuição. O ValleyRAT permite controle remoto de sistemas infectados, exfiltração de dados sensíveis e execução de comandos arbitrários. A campanha redireciona usuários para um site falso que oferece um suposto software do Teams, mas na verdade baixa um arquivo ZIP malicioso. O malware, uma versão trojanizada do Teams, manipula processos do sistema e estabelece conexões com servidores externos para controle remoto. Os objetivos do Silver Fox incluem ganho financeiro e coleta de inteligência sensível, representando riscos imediatos como vazamentos de dados e perdas financeiras para as organizações-alvo.