Китайская APT-группа Silver Fox маскируется под русских хакеров в целевой кампании против организаций в Китае

Злоумышленники используют фишинговый сайт, выдающий себя за официальную страницу загрузки Microsoft Teams (teamscn[.]com), чтобы распространить вредоносный ZIP-архив. Внутри архива находится троянизированный установщик, который запускает сложную цепочку заражения. Вредоносное ПО, модифицированный загрузчик ValleyRAT, использует технику Binary Proxy Execution, внедряя зловредную библиотеку DLL в легитимный процесс Windows rundll32.exe для скрытного установления соединения с командным сервером (C2).

Ключевой особенностью атаки является преднамеренное использование ложных флагов. Имя ZIP-архива содержит кириллический символ, а один из исполняемых файлов полностью локализован на русском языке. Однако исследователи обнаружили прямые связи с предыдущими операциями Silver Fox, включая пересекающуюся инфраструктуру и домены, ранее использовавшиеся для фишинга под Telegram. Группировка исторически ассоциируется с использованием ValleyRAT - удаленного трояна (RAT), типичного для китайских APT.

По оценке ReliaQuest, двойная миссия Silver Fox делает ее особенно опасной. Группа совмещает государственный шпионаж с киберпреступностью для финансирования своей деятельности. Цели включают как сбор конфиденциальных данных для геополитического преимущества, так и прямой финансовый ущерб через мошенничество и кражу средств. Использование ложной атрибуции позволяет операторам сохранять правдоподобное отрицание и действовать более скрытно.

Организациям, особенно имеющим офисы в Китае или сотрудников, работающих на китайском языке, рекомендуется усилить мониторинг. Критически важно обеспечить включенное логирование событий PowerShell и командной строки Windows для обнаружения аномальной активности. Кроме того, эффективной мерой защиты может стать развертывание внутренних каталогов предварительно одобренного программного обеспечения для сотрудников, что снижает риски загрузки ПО из сомнительных источников.

Данная кампания наглядно демонстрирует тенденцию к усложнению тактик APT-групп. Использование лингвистических ложных флагов и усовершенствованных методов уклонения от обнаружения, таких как модификация исключений в защитном ПО, указывает на постоянную эволюцию угрозы. Специалистам по информационной безопасности необходимо учитывать региональную специфику атак и обеспечивать одинаково высокий уровень защищенности для всех международных филиалов компании, чтобы не стать следующей жертвой целевой кампании.

IPv4

• 134.122.128.131
• 134.122.128.141
• 134.122.128.143
• 134.122.207.17
• 134.122.207.20
• 134.122.207.22
• 137.220.135.74
• 137.220.135.79
• 137.220.135.86
• 143.92.63.147
• 143.92.63.167
• 143.92.63.190
• 27.124.43.12
• 27.124.43.4
• 27.124.43.7
• 43.226.125.112
• 43.226.125.124
• 43.226.125.125

URLs

• http://6esygx.space
• http://binancegames.sb
• http://Ntpckj.com
• http://oss-cn-hongkong.aliyuncs.com
• http://ppx-teams-down-app.pages.dev
• http://qzjfxy.fun
• http://teams.baoyingkeji.com
• http://teams.chetanagarbatti.com
• http://teams.cpeakem.com
• http://teams.fin-tastikantioch.com
• http://teams.fjzwb.com
• http://teams.geroman.comm
• http://teams.hardepc.com
• http://teams.jqsnzp.com
• http://teams.kensun4a.com
• http://teams.kkkgenieyesl.cn
• http://teams.plsgongmu.com
• http://teams.telegramgwxz.com
• http://teams.telegramtgxz.com
• http://teams.telegramzwxz.com
• http://teams.xclyd.com
• http://teamscn.com
• http://teamszv.com

SHA256

• 3cb7d1849918290a17fcfffd904ca832a9656de053eab88ae5817b211556373e
• 752fb04792f8a0de88226d69efd78126c26304754604347e3edcda831809ba2b
• 9e4571947cd34ff98e376efaa3e91957931733ca32e13953905f39b3492089f6
• b73a3ab21ec8a4e0faf9b9c8b48c2ddc2821652a594a3ee38d84306f28537f4d
• d73593469375120d2bdb403383777f2737bc2018e3976cf9eea8f029282d47ed
• f3ef04aaf5056651325789ffd75bbc7db8ae2becbb08150e2d4f6a5b545bab0a