El grupo de ciberdelincuentes conocido como Silver Fox ha sido identificado orquestando una operación de “falsa bandera” para imitar a un grupo de amenazas ruso. Esta táctica busca camuflar sus ataques dirigidos a organizaciones en China.
La campaña de envenenamiento de optimización de motores de búsqueda (SEO poisoning) utiliza señuelos de Microsoft Teams para engañar a usuarios desprevenidos, llevándolos a descargar un archivo de instalación malicioso. Este archivo finalmente despliega ValleyRAT (Winos 4.0), un malware asociado con grupos de ciberdelincuencia chinos. La actividad se ha estado llevando a cabo desde noviembre de 2025.
El Uso de Falsas Banderas para Evadir la Atribución
ReliaQuest, la firma de investigación de seguridad que descubrió la campaña, señala que los atacantes están usando elementos cirílicos en el cargador modificado de ValleyRAT para despistar los esfuerzos de atribución. El objetivo principal de la campaña es dirigirse a usuarios de habla china, incluyendo aquellos que trabajan en organizaciones occidentales con operaciones en China.
ValleyRAT, una variante de Gh0st RAT, permite a los atacantes controlar de forma remota los sistemas infectados, exfiltrar datos sensibles, ejecutar comandos arbitrarios y mantener persistencia a largo plazo en las redes objetivo. Es importante destacar que el uso de Gh0st RAT se atribuye principalmente a grupos de hacking chinos.
Cadena de Infección del Señuelo de Microsoft Teams
La campaña de SEO poisoning redirige a los usuarios a un sitio web falso que ofrece la descarga de un supuesto software de Teams. En lugar de ello, se descarga un archivo ZIP malicioso llamado “MSTчamsSetup.zip”, que intencionalmente utiliza elementos lingüísticos rusos para confundir la atribución.
La cadena de infección detallada es la siguiente:
- Descarga Inicial: El usuario descarga “MSTчamsSetup.zip” desde un URL de Alibaba Cloud.
- Ejecución del Troyano: El archivo ZIP contiene “Setup.exe”, una versión troyanizada de Teams. Este ejecutable escanea procesos en busca de “360tray.exe” (relacionado con 360 Total Security) y configura exclusiones en Microsoft Defender Antivirus.
- Despliegue de Componentes: El malware escribe una versión troyanizada del instalador de Microsoft (“Verifier.exe”) en la ruta “AppData\Local" y lo ejecuta.
- Persistencia y Evasión: El malware procede a escribir archivos adicionales, como “AutoRecoverDat.dll”, y carga datos de “Profiler.json” y “GPUcache.xml”. Luego, lanza el DLL malicioso en la memoria del proceso legítimo de Windows “rundll32.exe” para evadir la detección.
- Payload Final: El ataque culmina con el malware estableciendo una conexión con un servidor externo para obtener la carga útil final, facilitando el control remoto del sistema.
Objetivos de Silver Fox y Riesgos Asociados
Los objetivos de Silver Fox incluyen obtener ganancias financieras a través del robo, estafas y fraudes, así como la recolección de inteligencia sensible para obtener ventajas geopolíticas. La táctica de falsa bandera permite al actor de amenazas operar discretamente y mantener una negación plausible de sus acciones.
Otra Campaña con ValleyRAT: El Señuelo de Telegram y BYOVD
Nextron Systems ha documentado otra cadena de ataque de ValleyRAT que utiliza un instalador troyanizado de Telegram como punto de partida. Esta campaña también emplea técnicas avanzadas para evadir la seguridad, destacando el uso de la técnica Bring Your Own Vulnerable Driver (BYOVD).
- Despliegue de Componentes: El instalador troyanizado configura exclusiones peligrosas en Microsoft Defender y despliega un ejecutable de segunda etapa (“men.exe”) en el perfil público del usuario.
- Evasión de Seguridad con BYOVD: “men.exe” es responsable de enumerar procesos de seguridad, cargar el driver vulnerable “NSecKrnl64.sys” mediante “NVIDIA.exe” y ejecutar ValleyRAT.
- Escalada de Privilegios: El componente “bypass.exe” facilita una derivación de Control de Cuentas de Usuario (UAC) para la escalada de privilegios.
- Persistencia Avanzada: Se establece persistencia a través de una tarea programada que ejecuta un script VBE codificado.
Estas dos campañas demuestran la sofisticación de Silver Fox en el uso de troyanos, técnicas de evasión (incluyendo BYOVD y bypass de UAC) y falsas banderas para llevar a cabo sus objetivos de ciberespionaje y ciberdelincuencia.
Referencias
- ReliaQuest: Hayden Evans
- Nextron Systems: Maurice Fielenbach
- Malware: ValleyRAT (Winos 4.0), Gh0st RAT
- Técnicas: SEO poisoning, BYOVD (Bring Your Own Vulnerable Driver), UAC bypass.