Граница между государственным кибершпионажем и коммерческим киберкриминалом продолжает размываться, создавая новые вызовы для специалистов по информационной безопасности. Наглядной иллюстрацией этой тревожной тенденции стала эволюция китайской группировки Silver Fox, также известной как Void Arachne. Если изначально она была сосредоточена на финансовых атаках, то с 2024 года исследователи отмечают её переход к более сложным операциям, характерным для APT-групп. Однако, как сообщают эксперты компании TDR, отслеживающие активность Silver Fox с начала 2025 года, группировка не отказалась от старых методов, а ведёт двойную игру, параллельно запуская как целевые шпионские кампании, так и массовые атаки для быстрой финансовой выгоды.
Описание
Основным инструментом группировки долгое время был модульный бэкдор ValleyRAT, также известный как Winos. Его функционал обширен: от перехвата нажатий клавиш и обхода систем безопасности до удалённого управления системой и хищения данных. Примечательно, что даже после утечки его конструктора в марте 2025 года Silver Fox продолжила активно использовать этот бэкдор, разрабатывая для него новые плагины. В частности, для скрытия присутствия в системе злоумышленники использовали модуль, эксплуатирующий уязвимость в драйвере с цифровой подписью Microsoft, что позволяло обходить как встроенные защитные механизмы Windows, так и списки опасных драйверов, составляемые сообществом. Параллельно с ValleyRAT в арсенале группировки появился HoldingHands - вариант известного в китайском киберкриминальном сообществе трояна Gh0st RAT. Эксперты полагают, что он может использоваться в качестве более "премиального" инструмента для особо важных операций по сбору разведданных.
Одновременно с этим Silver Fox продолжает массовые, менее изощрённые кампании, нацеленные на быструю прибыль. Для этих целей группировка использует широко распространённое вредоносное ПО вроде Blackmoon. Однако главной отличительной чертой всех её операций остаётся фишинг с использованием культурно-релевантных приманок. Злоумышленники мастерски маскируют свои письма и вложения под официальные сообщения национальных налоговых служб или документы, связанные с выплатой зарплат, что повышает доверие жертв и вероятность успеха атаки.
Исследователи выделили три волны кампаний Silver Fox в 2025-2026 годах, демонстрирующих эволюцию её методов доставки вредоносной нагрузки. Первая волна, начавшаяся в январе 2025 года, была сфокусирована на Тайване и совпала по времени с периодом проведения налоговых проверок на острове. Это указывает на стратегическое планирование и потенциальные цели, связанные со сбором разведданных в условиях обострения геополитической обстановки в регионе. Жертвам рассылались фишинговые письма с вложениями в формате PDF, которые при открытии запускали цепочку заражения, ведущую к установке ValleyRAT.
Вторая волна, стартовавшая в конце 2025 года, ознаменовала смену тактики и расширение географии. Целями стали организации в Малайзии, Филиппинах, Таиланде, Индонезии, Сингапуре и Индии. Вместо прямых вложений в письмах злоумышленники стали размещать ссылки на поддельные сайты налоговых органов, с которых жертвы сами загружали вредоносные архивы. Полезной нагрузкой в этой кампании стал легитимный, но неправильно сконфигурированный китайский инструмент удалённого мониторинга и управления (RMM). Хакеры использовали хитрый приём: IP-адрес сервера управления передавался прямо в имени исполняемого файла, что позволяло избежать модификации самого файла и сохранить его оригинальную цифровую подпись, не вызывая подозрений.
К февралю 2026 года Silver Fox снова обновила свой арсенал, перейдя к третьей волне атак. На смену RMM-инструменту пришёл скомпилированный на Python стилер, замаскированный под установщик мессенджера WhatsApp. Эта вредоносная программа предназначена для сбора учётных данных, cookies, истории браузера и другой конфиденциальной информации с заражённых компьютеров с последующей отправкой на управляющий сервер. Подобный инструментарий, наряду с расширенной географией и отсутствием сложных бэкдоров, указывает на то, что эти кампании носят скорее оппортунистический, финансово мотивированный характер.
Таким образом, деятельность Silver Fox представляет собой гибридную угрозу, объединяющую методы APT-групп и обычного киберкриминала. Способность группировки быстро адаптировать инструменты доставки - от сложных модульных бэкдоров до злоупотребления легитимным ПО и простых стилеров - делает её особенно опасной и сложной для обнаружения. Специалистам по безопасности в организациях по всей Южной и Юго-Восточной Азии следует уделять повышенное внимание фишинговым атакам, использующим финансовые и налоговые темы, внедрять строгие правила обработки вложений и ссылок в корпоративной почте, а также мониторить сетевую активность на предмет соединений с известной инфраструктурой группировки. Эволюция Silver Fox служит ярким напоминанием о том, что в современном ландшафте киберугроз мотивы атакующих могут быть разнообразны и изменчивы, а инструменты - универсальны.
Индикаторы компрометации
IPv4
- 103.203.48.174
- 103.228.12.151
- 103.231.12.23
- 103.231.12.45
- 103.70.76.130
- 103.97.128.103
- 103.97.128.109
- 103.97.128.142
- 112.121.183.102
- 112.121.183.106
- 112.213.120.164
- 115.187.17.212
- 115.187.17.68
- 116.213.43.23
- 130.250.191.46
- 150.109.79.82
- 154.12.87.28
- 154.44.28.175
- 154.91.84.3
- 156.251.18.238
- 156.251.18.45
- 156.254.5.118
- 170.205.54.88
- 206.238.178.116
- 216.250.104.166
- 220.167.103.145
- 220.167.103.158
- 220.167.103.160
- 222.186.190.138
- 45.119.55.112
- 45.119.55.66
- 45.194.37.147
- 47.85.99.19
- 69.30.250.99
- 93.127.142.77
Domains
- amvcoins.vip
- betooo.vip
- cocdex.cn
- czxfdz.com
- domainca.top
- domainct.com
- eaxwwyr.cn
- fdfhddfss.top
- fghs.shlowcarbon.com
- fhauifhyileydhfl.com
- fkfjrvfa.cn
- fzdoor.vip
- gfmqvip.vip
- gofjasj.help
- googlehfgj.cyou
- googlevip.icu
- gov.incometax.click
- host-hunter.com
- isyraw.quidoaehse.icu
- jinmai.vip
- juanseguros.com
- ksdfuefagfrukayhfka.eu.cc
- ksudeu.nanguanglu.com
- megamovielord.com
- mohaazon.com
- morecoworking.com
- nao.nnnwin.vip
- opkllasyy.shop
- oytdwzz.shop
- peyvz.com
- primetechstocks.com
- rdhrse.qpon
- sdyteq.shop
- sgegdvip.vip
- sgeshex.vip
- swy.juanseguros.com
- udste.xidyuyedg.qpon
- wgooglegoogle.com
- wwfygid.biz.id
- xueshirencai.com
- yigushengjin.com
- zibenbang.vip
- zptsgryw.cn
URLs
- https://xqwmwru.top/admin/login.php
- https://xqwmwru.top/upload_large.php
- https://xqwmwru.top/upload_status.php
SHA256
- 055c3fff8f1f58a41e7571b9bd7ebf4b1b10ba5231f1ffbcb47e0307d7ff6072
- 06ecf34ecf1f3f56a1760b8757b978d6bd859adcf699af4adfbeb0982e41282a
- 18cb036bcc7aacf7393575ddf15133e24d3a22cc92a4b14e8595686e4bf80629
- 249d2d1d6cfcf34d48ac0465ede688759a3c90b7412723373ea5a434d6d64c9c
- 2a4eab726a878a74dcad41d090681a7fa78d9247b1812e5c3066d7a1aa0413b1
- 316cbc90ad71a421e571b529af2dee40f901b15b4bc549836c25f1be35597249
- 36e0368dd4c3c9c70a78050618797705cda87a017e41777968c6b4b9173f553f
- 3f8e2ef8a5e7b8f8d14e43032ad2b18f0a4fb168609494fd346dcdfe1127a5cd
- 616be8ba3383909b2b04c87bcb9ca0707f5a19a8eaa6fc1e552181baa4e3e0aa
- 75bf89f0369b6eef1e2931e6da67a9d4f3095b9a623e6e8fdddf7fee66cc7cc0
- 80f7f10bcddafaec497a2de78dd3d2a53b72f27bb72e7939443539115f7e2168
- 8c54e6d91d95885beae125b30ab9096bd341e12be08dec3aeb859e539dc77d47
- 98be97a6f4663d04cf5382f4ed046b479af1dd300d0ab3fa7a399ab15078d7a0
- a6fd51bf2da2c2544ff78ef1824c30d4feef9a77c824f36d9afd2c6093c9b6ae
- a8d193e49e6c9c6d7c32ea807d22311bd1b110f2326b8a96c67978ecc6862ee6
- a8edb8fb1cf83031a454b5f39ffab0b1d93448cb3b9794246507e35ba0036801
- ae243178e201c6ee475e4498cade0d21ef22b8a6923322576115b0888e189013
- aed5ce23aa11f28e063c8b1b0836d3dbd059d93867e8e828a8356770ee185d1b
- d49bd211364594c671c4e34a31afb75becc69b32b45b140ed0d200f4b05868c6
- d91ea2ec158e871408229ec2f7a8fe78a8d30ed0db42f73fe9e31875b30b17c2
- eb4a53145734d1ef612897337b1fc3375209598c427590731bb87de3bd8f9bb0
- fc43d1640d94ef621c82a4d3a0406df3443b39043c4ddef0a23608c186c307e8
