El actor de amenazas conocido como Zorro plateado ha centrado su atención en la India, utilizando señuelos con temas de impuestos sobre la renta en campañas de phishing para distribuir un troyano modular de acceso remoto llamado ValleyRAT (también conocido como Winos 4.0).
«Este sofisticado ataque aprovecha una compleja cadena de destrucción que involucra el secuestro de DLL y el Valley RAT modular para garantizar la persistencia», dijeron los investigadores de CloudSEK Prajwal Awasthi y Koushik Pal. dicho en un análisis publicado la semana pasada.
También rastreado como SwimSnake, The Great Thief of Valley (o Valley Thief), UTG-Q-1000 y Void Arachne, Silver Fox es el nombre asignado a un grupo agresivo de cibercrimen de China que ha estado activo desde 2022.
Tiene un historial de orquestando una variedad de campañas cuyo motivos van desde espionaje y recopilación de inteligencia hasta ganancias financieras, minería de criptomonedas e interrupción operativa, lo que lo convierte en uno de los pocos equipos de piratería con un enfoque múltiple para su actividad de intrusión.
Centrada principalmente en personas y organizaciones de habla china, la victimología de Silver Fox se ha ampliado para incluir organizaciones que operan en los sectores público, financiero, médico y tecnológico. Los ataques organizados por el grupo han aprovechado el envenenamiento y el phishing de optimización de motores de búsqueda (SEO) para ofrecer variantes de Gh0st RAT como ValleRAT, Gh0stCringey HoldingHands RATA (también conocido como Gh0stBins).
En la cadena de infección documentada por CloudSEK, se utilizan correos electrónicos de phishing que contienen archivos PDF señuelo que supuestamente provienen del Departamento de Impuestos sobre la Renta de la India para implementar ValleyRAT. Específicamente, abrir el archivo PDF adjunto lleva al destinatario al archivo «ggwk[.]cc», desde donde se descarga un archivo ZIP («tax Affairs.zip»).
Dentro del archivo está presente un instalador del sistema Nullsoft Scriptable Install (NSIS) del mismo nombre («tax Affairs.exe»), que, a su vez, aprovecha un ejecutable legítimo asociado con Trueno («thunder.exe»), un administrador de descargas para Windows desarrollado por Xunlei y una DLL fraudulenta («libexpat.dll») que el binario descarga.
La DLL, por su parte, desactiva el servicio Windows Update y sirve como conducto para un cargador Donut, no sin antes realizar varias comprobaciones antianálisis y anti-sandbox para garantizar que el malware pueda ejecutarse sin obstáculos en el host comprometido. Luego, el módulo de aterrizaje inyecta la carga útil final de ValleyRAT en un proceso hueco «explorer.exe».
ValleyRAT está diseñado para comunicarse con un servidor externo y esperar más comandos. Implementa una arquitectura orientada a complementos para ampliar su funcionalidad de manera ad hoc, permitiendo así a sus operadores implementar capacidades especializadas para facilitar el registro de teclas, la recolección de credenciales y la evasión de defensa.
«Los complementos residentes en el registro y las balizas retardadas permiten que la RAT sobreviva a los reinicios sin dejar de ser silenciosa», dijo CloudSEK. «La entrega de módulos bajo demanda permite la recolección de credenciales específicas y la vigilancia adaptada al rol y valor de la víctima».
La divulgación se produce cuando NCC Group dijo que identificó un panel de administración de enlaces expuesto («ssl3[.]space») utilizado por Silver Fox para rastrear la actividad de descarga relacionada con instaladores maliciosos para aplicaciones populares, incluido Microsoft Teams, para implementar ValleyRAT. El servicio aloja información relacionada con:
- Páginas web que alojan aplicaciones de instalación de puerta trasera
- La cantidad de clics que recibe un botón de descarga en un sitio de phishing por día.
- Número acumulado de clics que ha recibido un botón de descarga desde su lanzamiento
Se ha descubierto que los sitios falsos creados por Silver Fox se hacen pasar por CloudChat, FlyVPN, Microsoft Teams, OpenVPN, QieQie, Santiao, Signal, Sigua, Snipaste, Sogou, Telegram, ToDesk, WPS Office y Youdao, entre otros. Un análisis de las direcciones IP de origen que hicieron clic en los enlaces de descarga reveló que al menos 217 clics se originaron en China, seguida de EE. UU. (39), Hong Kong (29), Taiwán (11) y Australia (7).
«Silver Fox aprovechó el envenenamiento de SEO para distribuir instaladores de puerta trasera de al menos 20 aplicaciones ampliamente utilizadas, incluidas herramientas de comunicación, VPN y aplicaciones de productividad», investigadores Dillon Ashmore y Asher Glue dicho. «Estos se dirigen principalmente a personas y organizaciones de habla china en China, con infecciones que se remontan a julio de 2025 y víctimas adicionales en Asia-Pacífico, Europa y América del Norte».
Distribuido a través de estos sitios hay un archivo ZIP que contiene un instalador basado en NSIS que es responsable de configurar las exclusiones de Microsoft Defender Antivirus, establecer la persistencia mediante tareas programadas y luego comunicarse con un servidor remoto para recuperar la carga útil de ValleyRAT.
Los hallazgos coinciden con un informe reciente de ReliaQuest, que atribuido el grupo de piratas informáticos a una operación de bandera falsa que imita a un actor de amenazas ruso en ataques dirigidos a organizaciones en China que utilizan sitios señuelo relacionados con Teams en un intento de complicar los esfuerzos de atribución.
«Los datos de este panel muestran cientos de clics de China continental y víctimas en Asia-Pacífico, Europa y América del Norte, lo que valida el alcance de la campaña y su orientación estratégica a los usuarios de habla china», dijo NCC Group.
Fuente