El actor de amenazas conocido como Zorro plateado ha sido descubierto orquestando una operación de bandera falsa para imitar a un grupo de amenaza ruso en ataques contra organizaciones en China.
La campaña de envenenamiento por optimización de motores de búsqueda (SEO) aprovecha los señuelos de Microsoft Teams para engañar a los usuarios desprevenidos para que descarguen un archivo de configuración malintencionado que lleva al despliegue de Rata del valle (Winos 4.0), un malware conocido asociado al grupo de ciberdelincuencia chino. La actividad ha estado en marcha desde noviembre de 2025.
«Esta campaña se dirige a los usuarios de habla china, incluidos los de organizaciones occidentales que operan en China, y utilizan un cargador 'ValleyRat' modificado que contiene elementos cirílicos, lo que probablemente sea una medida intencional para engañar la atribución», dijo Hayden Evans, investigador de ReliaQuest dijo en un informe compartido con The Hacker News.
ValleyRAT, una variante de Gh0st RAT, permite a los actores de amenazas controlar de forma remota los sistemas infectados, filtrar datos confidenciales, ejecutar comandos arbitrarios y mantener la persistencia a largo plazo en las redes objetivo. Vale la pena señalar que el uso de Gh0st RAT se atribuye principalmente a los grupos de hackers chinos.
El uso de Teams para la campaña de envenenamiento por SEO marca un alejamiento de los esfuerzos anteriores que habían aprovechado otros programas populares como Google Chrome, Telegram, WPS Office y DeepSeek para activar la cadena de infección.
La campaña de SEO está destinada a redirigir a los usuarios a un sitio web falso que cuenta con la opción de descargar el supuesto software de Teams. En realidad, un archivo ZIP llamado «MSTAMSSetup.zip» se recupera de una URL de Alibaba Cloud. El archivo utiliza elementos lingüísticos rusos para confundir los esfuerzos de atribución.
En el archivo se encuentra "Setup.exe», una versión troyanizada de Teams diseñada para analizar los procesos en ejecución en busca de archivos binarios relacionados con 360 Total Security (» 360tray.exe «), configurar las exclusiones de Microsoft Defender Antivirus y escribir la versión troyanizada del instalador de Microsoft (» Verifier.exe «) en la ruta «AppData\ Local\» y ejecutarla.
El malware continúa escribiendo archivos adicionales, como «AppData\ Local\ Profiler.json», «AppData\ Roaming\ Embarcadero\ GPUCache2.xml», «AppData\ Roaming\ Embarcadero\ GPUCache.xml» y «AppData\ Roaming\ Embarcadero\ AutoRecoverDat.dll».
En el siguiente paso, carga datos de «Profiler.json» y "GPUcache.xml» y lanza la DLL maliciosa en la memoria de "rundll32.exe», un proceso legítimo de Windows, para que pase desapercibida. El ataque pasa a la fase final, cuando el malware establece una conexión con un servidor externo para obtener la carga útil final y facilitar el control remoto.
«Los objetivos de Silver Fox incluyen obtener ganancias financieras mediante robos, estafas y fraudes, junto con la recopilación de información confidencial para obtener ventajas geopolíticas», dijo ReliaQuest. «Los objetivos se enfrentan a riesgos inmediatos, como filtraciones de datos, pérdidas financieras y sistemas comprometidos, mientras que Silver Fox mantiene una posición de negación plausible, lo que le permite operar discretamente sin financiación gubernamental directa».
La revelación se produce cuando Nextron Systems destacó otra cadena de ataques de ValleyRAT que utiliza un instalador troyano de Telegram como punto de partida para iniciar un proceso de varias etapas que, en última instancia, entrega el troyano. Este ataque también destaca por aprovechar el controlador Bring Your Own Vulnerable ( POR OVD ) técnica para cargar "NSecKrnl64.sys" y terminar los procesos de solución de seguridad.
«Este instalador establece una peligrosa exclusión de Microsoft Defender, organiza un archivo protegido con contraseña junto con un binario 7-Zip renombrado y, a continuación, extrae un ejecutable de la segunda etapa», dijo Maurice Fielenbach, investigador de seguridad dijo .
«Ese orquestador de segunda etapa, men.exe, implementa componentes adicionales en una carpeta bajo el perfil de usuario público, manipula los permisos de los archivos para resistirse a la limpieza y configura la persistencia mediante una tarea programada que ejecuta un script de VBE codificado. Este script, a su vez, lanza un cargador de controladores vulnerable y un binario firmado que carga de forma lateral la DLL de ValleyRAT».
Men.exe también es responsable de enumerar los procesos en ejecución para identificar los procesos relacionados con la seguridad de los terminales, así como de cargar el controlador vulnerable "NSecKrnl64.sys" mediante "NVIDIA.exe" y ejecutar ValleyRAT. Además, uno de los componentes clave que elimina el binario de Orchestrator es «bypass.exe», que permite aumentar los privilegios mediante un control de cuentas de usuario ( UAC ) derivación.
«A primera vista, las víctimas ven a un instalador normal», dijo Fielenbach. «En segundo plano, el malware almacena archivos, despliega controladores, altera las defensas y, por último, lanza una baliza ValleyRAT que mantiene el acceso al sistema a largo plazo».