El actor de amenazas nombrado Zorro plateado fue visto organizando una operación de bandera falsa para imitar a un grupo de amenaza ruso en ataques a organizaciones en China.
La campaña de envenenamiento de optimización de motores de búsqueda (SEO) utiliza señuelos de Microsoft Teams para engañar a usuarios desprevenidos para que descarguen un archivo de instalación malicioso que resulta en la implementación de ValleyRAT (Winos 4.0), un conocido malware asociado con el grupo de cibercrimen chino. La actividad se desarrolla desde noviembre de 2025.
“Esta campaña está dirigida a usuarios de habla china, incluidos aquellos dentro de organizaciones occidentales que operan en China, y utiliza un cargador 'ValleyRAT' modificado con elementos cirílicos, probablemente un intento deliberado de engañar a la atribución”, dijo el investigador de ReliaQuest, Hayden Evans, en un informe compartido con The Hacker News.
ValleyRAT, una variante de Gh0st RAT, permite a los actores de amenazas controlar de forma remota los sistemas infectados, filtrar datos confidenciales, ejecutar comandos arbitrarios y mantener la persistencia a largo plazo en las redes objetivo. Vale la pena señalar que el uso de Gh0st RAT se atribuye principalmente a grupos de hackers chinos.
El uso de equipos para la campaña de envenenamiento de SEO marca un alejamiento de esfuerzos anteriores que utilizaban otros programas populares como Google Chrome, Telegram, WPS Office y DeepSeek para activar la cadena de infección.
La campaña de SEO tiene como objetivo redirigir a los usuarios a un sitio web falso que ofrece una opción para descargar el supuesto software Teams. En realidad, un archivo ZIP llamado “MSTчamsSetup.zip” se recupera de una URL de Alibaba Cloud. El archivo utiliza elementos del idioma ruso para confundir los esfuerzos de atribución.
El archivo contiene “Setup.exe”, una versión troyanizada de Teams diseñada para escanear procesos en ejecución en busca de archivos binarios relacionados con 360 Total Security (“360tray.exe”), configurar exclusiones de Microsoft Defender Antivirus y escribir y ejecutar la versión troyanizada del instalador de Microsoft (“Verifier.exe”) en la ruta “AppData\Local\”.
El malware escribe archivos adicionales, incluidos “AppData\Local\Profiler.json”, “AppData\Roaming\Embarcadero\GPUCache2.xml”, “AppData\Roaming\Embarcadero\GPUCache.xml” y “AppData\Roaming\Embarcadero\AutoRecoverDat.dll”.
En el siguiente paso, carga datos de “Profiler.json” y “GPUcache.xml” y lanza la DLL maliciosa en la memoria de “rundll32.exe”, un proceso legítimo de Windows, para pasar desapercibido. El ataque pasa a la fase final, donde el malware se conecta a un servidor externo para recuperar la carga útil final, lo que permite el control remoto.
“Los objetivos de Silver Fox incluyen ganancias financieras mediante robo, fraude y fraude, así como la recopilación de información confidencial para obtener ventajas geopolíticas”, dijo ReliaQuest. “Los objetivos enfrentan riesgos inmediatos, como violaciones de datos, pérdidas financieras y sistemas comprometidos, mientras que Silver Fox mantiene una negación plausible que le permite operar discretamente y sin financiación gubernamental directa”.
La divulgación se produjo cuando Nextron Systems destacó otra cadena de ataque ValleyRAT que utiliza un instalador troyano de Telegram como punto de partida para iniciar un proceso de varios pasos que finalmente entrega el troyano. Este ataque también se destaca por utilizar la técnica Bring Your Own Vulnerable Driver (BYOVD) para cargar NSecKrnl64.sys y finalizar los procesos de resolución de seguridad.
“Este instalador establece una exclusión peligrosa de Microsoft Defender, implementa un archivo protegido con contraseña junto con un binario 7-Zip renombrado y luego extrae un ejecutable de segunda etapa”, dijo el investigador de seguridad Maurice Fielenbach.
“Este orquestador de segunda etapa, men.exe, implementa componentes adicionales en una carpeta bajo el perfil de usuario público, manipula los permisos de archivos para resistir el desalojo y establece persistencia a través de una tarea programada que ejecuta un script VBE codificado. Este script, a su vez, lanza un cargador de controladores vulnerable y un binario firmado que descarga la DLL ValleyRAT”.
Men.exe también es responsable de enumerar los procesos en ejecución para identificar los procesos relacionados con la seguridad de los terminales, así como de cargar el controlador vulnerable NSecKrnl64.sys usando NVIDIA.exe y ejecutando ValleyRAT. Además, uno de los componentes clave eliminados por el binario de Orchestrator es bypass.exe, que permite la escalada de privilegios mediante una omisión del Control de cuentas de usuario (UAC).
“En la superficie, las víctimas ven a un fontanero normal”, dijo Fielenbach. “En segundo plano, el malware implementa archivos, implementa controladores, manipula defensas y, en última instancia, lanza una baliza ValleyRat que mantiene el acceso a largo plazo al sistema”.
About The Author
