El actor de amenazas conocido como Zorro plateado se ha atribuido al uso indebido de un controlador vulnerable previamente desconocido asociado a Watchdog Anti-malware como parte del programa Bring Your Own Vulnerable Driver ( POR OVD ) ataque destinado a desarmar las soluciones de seguridad instaladas en los hosts comprometidos.
El controlador vulnerable en cuestión es "amsdk.sys" (versión 1.0.600), un controlador de dispositivo del kernel de Windows de 64 bits firmado de forma válida que se ha determinado que está basado en el SDK de Zemana Anti-Malware.
«Este controlador, creado a partir del SDK antimalware de Zemana, estaba firmado por Microsoft y no figuraba en el Lista de controladores vulnerables de Microsoft , y no son detectados por proyectos comunitarios como LOLDrivers», Check Point dijo en un análisis.
El ataque se caracteriza por una estrategia de doble conductor, en la que un controlador Zemana vulnerable conocido (» zam.exe «) se usa para máquinas con Windows 7 y controlador WatchDog no detectado para sistemas que funcionan con Windows 10 u 11.
Se ha descubierto que el controlador antimalware Watchdog contiene múltiples vulnerabilidades, la primera y más importante es la capacidad de terminar procesos arbitrarios sin verificar si el proceso se ejecuta como protegido (PP/PPL). También es susceptible de aumentar los privilegios locales, lo que permite a un atacante obtener acceso sin restricciones al dispositivo del conductor .
El objetivo final de la campaña, que Check Point descubrió por primera vez a finales de mayo de 2025, es aprovechar estos factores vulnerables para neutralizar los productos de protección de terminales, creando un camino claro para el despliegue y la persistencia del malware sin activar las defensas basadas en firmas.
Como se observó anteriormente, la campaña está diseñada para ofrecer Rata del valle (también conocido como Winos 4.0) como carga útil final, que proporciona capacidades de acceso y control remotos al actor de la amenaza. La empresa de ciberseguridad afirmó que los ataques empleaban un cargador «todo en uno», que encapsulaba las funciones antianálisis, dos controladores integrados, la lógica antivirus y el descargador de DLL ValleyRAT en un solo archivo binario.
«Tras la ejecución, la muestra realiza algunas comprobaciones antianálisis comunes, como la detección de entornos virtuales (detección de entornos virtuales), la detección de ejecución en un entorno aislado (detección de la ejecución en un entorno limitado) y la detección de hipervisores, entre otras», explica Check Point. «Si alguna de estas comprobaciones falla, la ejecución se interrumpe y aparece un mensaje falso de error del sistema».
El descargador está diseñado para comunicarse con un servidor de comando y control (C2) para llevar la puerta trasera modular de ValleyRAT a la máquina infectada.
Tras una divulgación responsable, Watchdog ha publicado un parche (versión 1.1.100) para abordar el riesgo de la LPE mediante la aplicación de una lista de control de acceso discrecional (DACL) sólida, sin solucionar el problema de la terminación arbitraria del proceso. Esto, a su vez, ha tenido el efecto colateral de que los atacantes se adapten rápidamente e incorporen la versión modificada modificando tan solo un byte sin invalidar la firma de Microsoft.
«Al invertir un solo byte en el campo de marca de tiempo no autenticada, conservaron la firma válida de Microsoft del controlador y generaron un nuevo hash de archivo, lo que evitó de manera efectiva las listas de bloqueo basadas en hash», señala Check Point. «Esta técnica de evasión, sutil pero eficaz, refleja los patrones observados en campañas anteriores».
«Esta campaña demuestra cómo los actores de amenazas van más allá de las debilidades conocidas para convertir en armas a conductores desconocidos y fichados, un punto ciego para muchos mecanismos de defensa. La explotación de un controlador vulnerable firmado por Microsoft y previamente desclasificado, combinada con técnicas evasivas como la manipulación de firmas, representa una amenaza sofisticada y en constante evolución».
Silver Fox, también llamado SwimSnake, The Great Thief of Valley (o Valley Thief), UTG-Q-1000 y Void Arachne, es juzgado ha estado muy activo desde principios del año pasado, centrándose principalmente en las víctimas de habla china que utilizan sitios web falsos que se hacen pasar por Google Chrome, Telegram y herramientas de inteligencia artificial (IA) como DeepSeek para distribuir troyanos de acceso remoto como ValleyRat.
Según el proveedor chino de ciberseguridad Antiy, se cree que el grupo de hackers existe desde la segunda mitad de 2022 y se dirige a usuarios y empresas nacionales con un intento de robar secretos y defraudarlos.
«El grupo cibercriminal difunde principalmente archivos maliciosos a través de software de mensajería instantánea (WeChat, Enterprise WeChat, etc.), promoción de SEO en motores de búsqueda, correos electrónicos de suplantación de identidad, etc.», la empresa dijo . «El grupo cibercriminal 'SwimSnake' sigue actualizando con frecuencia los métodos de evasión antivirus y de malware».
Los ataques emplean versiones troyanizadas de software de código abierto, programas maliciosos creados con el marco Qt o instaladores MSI disfrazados de Youdao, Sogou AI, WPS Office y DeepSeek para servir a Valley RAT, incluida su módulo online que puede capturar capturas de pantalla de WeChat y bancos en línea.
La noticia se produce cuando QianXin también detalló una campaña separada organizada por el «Grupo Financiero» de Silver Fox dirigida al personal financiero y a los gerentes de empresas e instituciones, con el objetivo de saquear información financiera confidencial o obtener ganancias directas mediante el fraude.
Estos ataques aprovechan las trampas de suplantación de identidad relacionadas con las auditorías fiscales, las facturas electrónicas, los anuncios de subsidios y las transferencias de personal para engañar a los usuarios y hacer que ejecuten troyanos de acceso remoto, al tiempo que se basan en servicios en la nube legítimos, como Alibaba Cloud OSS y Youdao Cloud Notes, para alojar cargas maliciosas en un intento de eludir la detección.
The Finance Group es uno de los cuatro subgrupos que forman parte de Silver Fox; los otros tres son News and Romance Group, Design and Manufacturing Group y Black Watering Hole Group.
Curiosamente, cuando el Grupo Financiero se hace con el control del ordenador de la víctima mediante métodos como los ataques a abrevaderos y la suplantación de identidad, se apodera de las cuentas de las redes sociales de la víctima y las aprovecha para enviar códigos QR de suplantación de identidad a varios chats grupales de WeChat con el objetivo de recopilar números de cuentas bancarias y contraseñas de los miembros del grupo y, en última instancia, agotar los fondos de sus cuentas bancarias con fines de lucro.
«El UTG-Q-1000 es uno de los grupos de ciberdelincuencia más activos y agresivos de China en los últimos años. Sus operaciones están altamente organizadas, son técnicamente sofisticadas y tienen motivaciones financieras», dijo QianXin dijo . «Han establecido una cadena de beneficios completa en el mercado negro que incluye: espionaje (robo de datos), control remoto mediante malware y fraude financiero y suplantación de identidad».