El actor de amenazas nombrado Zorro plateado ha puesto su mirada en India, utilizando señuelos con temas de impuestos sobre la renta en campañas de phishing para distribuir un troyano modular de acceso remoto llamado ValleyRAT (también conocido como Winos 4.0).
“Este sofisticado ataque aprovecha una compleja cadena de destrucción con secuestro de DLL y el Valley RAT modular para garantizar la persistencia”, dijeron los investigadores de CloudSEK Prajwal Awasthi y Koushik Pal en un análisis publicado la semana pasada.
Silver Fox, también conocido como SwimSnake, The Great Thief of Valley (o Valley Thief), UTG-Q-1000 y Void Arachne, es el nombre de un agresivo grupo de cibercrimen de China que ha estado activo desde 2022.
La compañía tiene un historial de orquestar una variedad de campañas con motivos que van desde el espionaje y la recopilación de inteligencia hasta ganancias financieras, minería de criptomonedas e interrupción del negocio. Esto lo convierte en uno de los pocos equipos de piratería con un enfoque múltiple para sus actividades de robo.
Silver Fox se centra principalmente en personas y organizaciones de habla china, pero también se ha ampliado para incluir organizaciones que operan en los sectores público, financiero, médico y técnico. Los ataques llevados a cabo por el grupo utilizaron envenenamiento y phishing de optimización de motores de búsqueda (SEO) para entregar variantes de Gh0st RAT como ValleyRAT, Gh0stCringe y HoldingHands RAT (también conocido como Gh0stBins).
En la cadena de infección documentada por CloudSEK, se utilizan correos electrónicos de phishing que contienen archivos PDF engañosos que supuestamente provienen del Departamento de Impuestos sobre la Renta de la India para entregar ValleyRAT. Específicamente, abrir el archivo adjunto PDF lleva al destinatario al dominio “ggwk(.)cc”, desde donde se descarga un archivo ZIP (“tax Affairs.zip”).
Dentro del archivo hay un instalador de Nullsoft Scriptable Install System (NSIS) del mismo nombre (“tax Affairs.exe”), que a su vez utiliza un archivo ejecutable legítimo asociado con Thunder (“thunder.exe”), un administrador de descargas para Windows desarrollado por Xunlei y una DLL fraudulenta (“libexpat.dll”) descargada desde el binario.
La DLL, a su vez, desactiva el servicio Windows Update y actúa como conducto para un cargador de donuts, no sin antes ejecutar varias comprobaciones antianálisis y anti-sandbox para garantizar que el malware pueda ejecutarse sin obstáculos en el host comprometido. Luego, el módulo de aterrizaje inyecta la carga útil final de ValleyRAT en un proceso hueco “explorer.exe”.
ValleyRAT está diseñado para comunicarse con un servidor externo y esperar más comandos. Implementa una arquitectura orientada a complementos para ampliar su funcionalidad ad hoc, permitiendo así a sus operadores proporcionar funcionalidad especializada para facilitar el registro de teclas, la recopilación de credenciales y la evasión de defensa.
“Los complementos residentes en el registro y las balizas retardadas permiten que la RAT sobreviva a los reinicios mientras permanece silenciosa”, dijo CloudSEK. “La implementación de módulos bajo demanda permite la recopilación y el monitoreo de credenciales específicas adaptadas al rol y valor de la víctima”.
La divulgación se produce después de que NCC Group dijera que identificó un panel de administración de enlaces expuesto (“ssl3(.)space”) utilizado por Silver Fox para rastrear la actividad de descarga asociada con instaladores maliciosos para aplicaciones populares, incluido Microsoft Teams, para implementar ValleyRAT. El servicio aloja información relacionada con:
- Sitios web que alojan aplicaciones de instalación de puerta trasera
- La cantidad de clics que recibe un botón de descarga en un sitio de phishing por día.
- Número acumulado de clics que ha recibido un botón de descarga desde su lanzamiento
Se descubrió que los sitios web falsos creados por Silver Fox se hacían pasar por CloudChat, FlyVPN, Microsoft Teams, OpenVPN, QieQie, Santiao, Signal, Sigua, Snipaste, Sogou, Telegram, ToDesk, WPS Office y Youdao, entre otros. Un análisis de las direcciones IP de origen que hicieron clic en los enlaces de descarga encontró que al menos 217 clics provinieron de China, seguida de Estados Unidos (39), Hong Kong (29), Taiwán (11) y Australia (7).
“Silver Fox utilizó el envenenamiento de SEO para distribuir instaladores de puerta trasera para al menos 20 aplicaciones ampliamente utilizadas, incluidas herramientas de comunicación, VPN y aplicaciones de productividad”, dijeron los investigadores Dillon Ashmore y Asher Glue. “Estos se dirigen principalmente a personas y organizaciones de habla china en China, con infecciones que se remontan a julio de 2025, con víctimas adicionales en Asia Pacífico, Europa y América del Norte”.
A través de estos sitios web se distribuye un archivo ZIP que contiene un instalador basado en NSIS que es responsable de configurar las exclusiones de Microsoft Defender Antivirus, configurar la persistencia mediante tareas programadas y luego comunicarse con un servidor remoto para recuperar la carga útil de ValleyRAT.
Los hallazgos son consistentes con un informe reciente de ReliaQuest, que atribuyó al grupo de piratas informáticos a una operación de bandera falsa que se hizo pasar por un actor de amenazas ruso en ataques a organizaciones en China que utilizaban sitios señuelo relacionados con Teams para complicar los esfuerzos de atribución.
“Los datos de este panel muestran cientos de clics de China continental y víctimas en Asia Pacífico, Europa y América del Norte, lo que confirma la escala de la campaña y la orientación estratégica a los usuarios de habla china”, dijo NCC Group.
About The Author
