El actor de amenazas conocido como Zorro plateado ha sido visto orquestando una operación de bandera falsa para imitar a un grupo de amenaza ruso en ataques dirigidos a organizaciones en China.
La campaña de envenenamiento de optimización de motores de búsqueda (SEO) aprovecha los señuelos de Microsoft Teams para engañar a usuarios desprevenidos para que descarguen un archivo de instalación malicioso que conduce a la implementación de ValleRAT (Winos 4.0), un conocido malware asociado con el grupo de cibercrimen chino. La actividad está en marcha desde noviembre de 2025.
«Esta campaña está dirigida a usuarios de habla china, incluidos aquellos dentro de organizaciones occidentales que operan en China, utilizando un cargador 'ValleyRAT' modificado que contiene elementos cirílicos, probablemente un movimiento intencional para engañar a la atribución», dijo el investigador de ReliaQuest, Hayden Evans. dicho en un informe compartido con The Hacker News.
ValleyRAT, una variante de Gh0st RAT, permite a los actores de amenazas controlar de forma remota los sistemas infectados, filtrar datos confidenciales, ejecutar comandos arbitrarios y mantener la persistencia a largo plazo dentro de las redes específicas. Vale la pena señalar que el uso de Gh0st RAT se atribuye principalmente a grupos de hackers chinos.
El uso de Teams para la campaña de envenenamiento de SEO marca un alejamiento de esfuerzos anteriores que han aprovechado otros programas populares como Google Chrome, Telegram, WPS Office y DeepSeek para activar la cadena de infección.
La campaña de SEO tiene como objetivo redirigir a los usuarios a un sitio web falso que presenta una opción para descargar el supuesto software Teams. En realidad, un archivo ZIP llamado «MSTчamsSetup.zip» se recupera de una URL de Alibaba Cloud. El archivo utiliza elementos lingüísticos rusos para confundir los esfuerzos de atribución.
Dentro del archivo está «Setup.exe», una versión troyanizada de Teams que está diseñada para escanear procesos en ejecución en busca de archivos binarios relacionados con 360 Total Security («360tray.exe»), configurar exclusiones de Microsoft Defender Antivirus y escribir la versión troyanizada del instalador de Microsoft («Verifier.exe») en la ruta «AppData\Local\» y ejecutarlo.
El malware continúa escribiendo archivos adicionales, incluidos «AppData\Local\Profiler.json», «AppData\Roaming\Embarcadero\GPUCache2.xml», «AppData\Roaming\Embarcadero\GPUCache.xml» y «AppData\Roaming\Embarcadero\AutoRecoverDat.dll».
En el siguiente paso, carga datos de «Profiler.json» y «GPUcache.xml» y lanza la DLL maliciosa en la memoria de «rundll32.exe», un proceso legítimo de Windows, para pasar desapercibido. El ataque pasa a la etapa final en la que el malware establece una conexión a un servidor externo para recuperar la carga útil final y facilitar el control remoto.
«Los objetivos de Silver Fox incluyen ganancias financieras a través de robos, estafas y fraudes, junto con la recopilación de inteligencia sensible para obtener ventajas geopolíticas», dijo ReliaQuest. «Los objetivos enfrentan riesgos inmediatos como violaciones de datos, pérdidas financieras y sistemas comprometidos, mientras que Silver Fox mantiene una negación plausible, lo que le permite operar discretamente sin financiación gubernamental directa».
La divulgación se produce cuando Nextron Systems destacó otra cadena de ataque ValleyRAT que utiliza un instalador troyano de Telegram como punto de partida para iniciar un proceso de varias etapas que finalmente entrega el troyano. Este ataque también se destaca por aprovechar Bring Your Own Vulnerable Driver (BYOVD) técnica para cargar «NSecKrnl64.sys» y finalizar los procesos de la solución de seguridad.
«Este instalador establece una peligrosa exclusión de Microsoft Defender, prepara un archivo protegido con contraseña junto con un binario 7-Zip renombrado y luego extrae un ejecutable de segunda etapa», afirma el investigador de seguridad Maurice Fielenbach. dicho.
«Ese orquestador de segunda etapa, 'men.exe', implementa componentes adicionales en una carpeta bajo el perfil de usuario público, manipula los permisos de los archivos para resistir la limpieza y configura la persistencia a través de una tarea programada que ejecuta un script VBE codificado. Este script a su vez lanza un cargador de controladores vulnerable y un binario firmado que descarga la DLL ValleyRAT».
«Men.exe» también es responsable de enumerar los procesos en ejecución para identificar procesos relacionados con la seguridad de los terminales, así como de cargar el controlador vulnerable «NSecKrnl64.sys» usando «NVIDIA.exe» y ejecutar ValleyRAT. Además, uno de los componentes clave eliminados por el binario del orquestador es «bypass.exe», que permite la escalada de privilegios mediante un control de cuentas de usuario (UAC) derivación.
«En la superficie, las víctimas ven a un instalador normal», afirma Fielenbach. «En segundo plano, el malware almacena archivos, implementa controladores, altera las defensas y finalmente lanza una baliza ValleyRat que mantiene el acceso al sistema a largo plazo».
Solicitantes de empleo a los que se dirige ValleyRAT
Los hallazgos también coinciden con una nueva campaña de phishing por correo electrónico descubierta por Trend Micro que utiliza un lector de PDF Foxit armado distribuido a través de archivos adjuntos ZIP para implementar ValleyRAT en ataques dirigidos a quienes buscan empleo. La presencia de nombres de archivos en inglés sugiere que el actor de amenazas puede estar ampliando su enfoque más allá de los usuarios de habla china.
La ruta de infección sigilosa comienza con un archivo malicioso que contiene una versión renombrada de «FoxitPDFReader.exe» disfrazada de documento, que, cuando se inicia, descarga un «msimg32.dll» malicioso que, a su vez, ejecuta un script por lotes responsable de abrir un señuelo PDF benigno y descargar y ejecutar un script Python que luego ejecuta un código shell diseñado para cargar ValleyRAT a través de la carga de reflexión .NET.
«El análisis destaca cómo los operadores de ValleyRAT explotan las vulnerabilidades emocionales y psicológicas de quienes buscan empleo, aprovechándose de su afán por conseguir un empleo», afirmó Trend Micro. «Sus tácticas también implican el uso indebido de software legítimo como Foxit Reader mediante la descarga de archivos DLL y técnicas engañosas».
Fuente