El actor de amenazas conocido como Zorro plateado ha centrado su atención en la India y ha utilizado señuelos con temática de impuestos sobre la renta en campañas de suplantación de identidad para distribuir un troyano modular de acceso remoto llamado ValleyRAT (también conocido como Winos 4.0).
«Este sofisticado ataque aprovecha una compleja cadena de eliminación que incluye el secuestro de archivos DLL y el sistema modular Valley RAT para garantizar la persistencia», afirman Prajwal Awasthi y Koushik Pal, investigadores de CloudSEK. dijo en un análisis publicado la semana pasada.
También conocido como SwimSnake, The Great Thief of Valley (o Valley Thief), UTG-Q-1000 y Void Arachne, Silver Fox es el nombre asignado a un grupo agresivo de ciberdelincuencia de China que ha estado activo desde 2022.
Tiene un historial de orquestando una variedad de campañas cuya motivos van desde el espionaje y la recopilación de información de inteligencia hasta las ganancias financieras, la minería de criptomonedas y la interrupción operativa, lo que lo convierte en uno de los pocos equipos de piratas informáticos con un enfoque múltiple en su actividad de intrusión.
Centrado principalmente en las personas y organizaciones de habla china, la victimología de Silver Fox se ha ampliado para incluir a las organizaciones que operan en los sectores público, financiero, médico y tecnológico. Los ataques organizados por el grupo han aprovechado el envenenamiento por optimización de motores de búsqueda (SEO) y la suplantación de identidad para lanzar variantes de Gh0st RAT, como Rata del valle , Gh0st Cringe , y Tocados de la mano RAT (también conocido como Gh0stbins).
En la cadena de infección documentada por CloudSEK, para implementar ValleyRAT se utilizan correos electrónicos de suplantación de identidad que contienen archivos PDF engañosos que supuestamente provienen del Departamento de Impuestos sobre la Renta de la India. En concreto, al abrir el archivo adjunto en PDF, el destinatario accede al dominio «ggwk [.] cc», desde donde se descarga un archivo ZIP («tax affairs.zip «).
En el archivo hay un instalador del sistema Nullsoft Scriptable Install System (NSIS) del mismo nombre («tax affairs.exe «) que, a su vez, aprovecha un ejecutable legítimo asociado a Trueno (» thunder.exe «), un gestor de descargas para Windows desarrollado por Xunlei y una DLL fraudulenta (» libexpat.dll «) descargada por el binario.
La DLL, por su parte, desactiva el servicio Windows Update y sirve de conducto para un cargador de donuts, no sin antes realizar varias comprobaciones antianálisis y antisandbox para garantizar que el malware pueda ejecutarse sin obstáculos en el host comprometido. A continuación, el módulo de aterrizaje inyecta la carga útil final de ValleyRAT en un proceso vacío llamado "explorer.exe».
ValleyRAT está diseñado para comunicarse con un servidor externo y esperar más comandos. Implementa una arquitectura orientada a complementos para ampliar su funcionalidad de manera ad hoc, lo que permite a sus operadores implementar capacidades especializadas para facilitar el registro de teclas, la recolección de credenciales y la evasión por motivos de defensa.
«Los complementos residentes en el registro y el retraso en la balización permiten que la RAT sobreviva a los reinicios y, al mismo tiempo, mantenga un bajo nivel de ruido», afirma CloudSEK. «La entrega de módulos bajo demanda permite recopilar credenciales de forma selectiva y realizar una vigilancia adaptada a la función y el valor de la víctima».
La revelación se produce cuando NCC Group dijo haber identificado un panel de administración de enlaces expuesto («ssl3 [.] space») utilizado por Silver Fox para rastrear la actividad de descarga relacionada con instaladores maliciosos de aplicaciones populares, como Microsoft Teams, para implementar ValleyRAT. El servicio aloja información relacionada con -
- Páginas web que alojan aplicaciones de instalación de puerta trasera
- La cantidad de clics que recibe un botón de descarga en un sitio de suplantación de identidad por día
- Número acumulado de clics que ha recibido un botón de descarga desde su lanzamiento
Se ha descubierto que los sitios falsos creados por Silver Fox se hacen pasar por CloudChat, FlyVPN, Microsoft Teams, OpenVPN, QieQie, Santiao, Signal, Sigua, Snipaste, Sogou, Telegram, ToDesk, WPS Office y Youdao, entre otros. Un análisis de las direcciones IP de origen que han hecho clic en los enlaces de descarga ha revelado que al menos 217 clics procedían de China, seguida de EE. UU. (39), Hong Kong (29), Taiwán (11) y Australia (7).
«Silver Fox aprovechó el envenenamiento por SEO para distribuir instaladores clandestinos de al menos 20 aplicaciones ampliamente utilizadas, incluidas herramientas de comunicación, VPN y aplicaciones de productividad», dicen los investigadores Dillon Ashmore y Asher Glue dijo . «Se dirigen principalmente a personas y organizaciones de habla china en China, con infecciones que se remontan a julio de 2025 y más víctimas en Asia-Pacífico, Europa y Norteamérica».
A través de estos sitios se distribuye un archivo ZIP que contiene un instalador basado en NSIS que se encarga de configurar las exclusiones de Microsoft Defender Antivirus, establecer la persistencia mediante tareas programadas y, a continuación, comunicarse con un servidor remoto para obtener la carga útil de ValleyRAT.
Los hallazgos coinciden con un informe reciente de ReliaQuest, que atribuido el grupo de hackers de una operación de bandera falsa que imita a un actor de amenazas ruso en ataques contra organizaciones en China que utilizan sitios de señuelos relacionados con Teams en un intento de complicar los esfuerzos de atribución.
«Los datos de este panel muestran cientos de clics procedentes de China continental y víctimas en Asia-Pacífico, Europa y Norteamérica, lo que valida el alcance de la campaña y su orientación estratégica a los usuarios de habla china», afirma NCC Group.
Post generado automaticamente, fuente oficial de la información: THEHACKERNEWS