В начале апреля 2026 года в открытых источниках появилась информация о новой, технически сложной кампании кибершпионажа, нацеленной преимущественно на китайскоязычных пользователей. Группа угроз, известная под именами Silver Fox, SwimSnake и The Great Thief of Valley, возобновила активность, используя усовершенствованную цепочку заражения. Её ключевыми элементами стали маскировка под легитимное программное обеспечение, обход систем защиты с помощью доверенных бинарников известных компаний и применение руткита уровня ядра операционной системы.
Описание
Инцидент демонстрирует растущую изощрённость групп, действующих на стыке киберпреступности и государственного шпионажа. Их методы становятся всё более многоступенчатыми и адаптивными, что значительно затрудняет обнаружение и расследование подобных атак для специалистов по информационной безопасности.
Многослойная маскировка и социальная инженерия
Атака начинается с файла, замаскированного под установщик языкового пакета для мессенджера Telegram. Файл с названием "点击安装中文语言包a.msi" ("Нажмите, чтобы установить китайский языковой пакет a") представляет собой установщик формата MSI, созданный с помощью инструмента WiX Toolset. Такой выбор не случаен, поскольку MSI-пакеты часто воспринимаются пользователями и даже некоторыми системами защиты как легитимные установщики программного обеспечения. После запуска установщик, используя скрытые сценарии, извлекает полезную нагрузку, а в финале действительно открывает в Telegram ссылку на смену языка, создавая у жертвы впечатление корректно выполненной установки. Этот приём социальной инженерии призван снизить бдительность пользователя и замаскировать истинную природу произошедших в системе процессов.
Шестиэтапная цепочка заражения с адаптацией под среду
Сам процесс заражения представляет собой чётко выверенную последовательность из шести этапов, часть из которых активируется условно, в зависимости от окружения. После извлечения файлов из MSI-установщика специальный скрипт объединяет и расшифровывает два зашифрованных архива формата ZPAQ. Для их распаковки используется легитимная утилита zpaqfranz, переименованная в бессмысленный набор символов. Использование именно этого редкого архиватора, а не распространённых 7-Zip или WinRAR, является осознанной тактикой уклонения от сигнатурного анализа систем безопасности, которые часто отслеживают подозрительную активность, связанную с распаковкой архивов известными утилитами.
На следующем, критически важном этапе, вредоносный скрипт анализирует систему на наличие популярных в Китае антивирусных продуктов, таких как 360 Safe, Tencent PC Manager и Huorong. В зависимости от результата этой проверки выбирается один из двух сценариев развёртывания основного трояна. Если система считается "чистой", вредоносный файл размещается непосредственно в каталоге C:\Windows\. Однако если обнаружено присутствие средств защиты, активируется более скрытный механизм, известный как DLL sideloading.
Злоупотребление доверенным ПО ByteDance для обхода защиты
Для скрытного выполнения кода злоумышленники используют подписанный цифровой подписью легитимный исполняемый файл SodaMusicLauncher.exe, принадлежащий компании ByteDance, известной созданием платформы TikTok. Этот файл является частью службы повышения прав AppShell Elevation Service. Злоумышленники подкладывают рядом с ним вредоносные библиотеки DLL с именами, на которые этот бинарник будет ссылаться при запуске, например, powrprof.dll. В результате, когда система или пользователь запускает доверенный файл от ByteDance, он загружает вредоносную DLL, выполняя код злоумышленников в контексте подписанного и, вероятно, доверенного для многих систем безопасности процесса. Этот метод особенно эффективен в регионе-мишени, где программное обеспечение от крупных китайских технологических компаний часто находится в "белых списках" локальных средств защиты.
Основной полезной нагрузкой в этой кампании является троян удалённого доступа ValleyRAT. Его конфигурация, извлечённая аналитиками, содержит идентификатор оператора "King-New", тег кампании и адрес командного сервера. Помимо этого, в систему внедряется руткит уровня ядра, использующий уязвимый драйвер wnBios. Этот драйвер, предназначенный для легитимного доступа к BIOS, используется по методике BYOVD (Bring Your Own Vulnerable Driver) для получения привилегированного доступа к физической памяти. Это позволяет злоумышленникам отключать защитные механизмы ядра, скрывать процессы и файлы, что делает троян практически невидимым для традиционных средств защиты.
Инфраструктура и уверенная атрибуция
Командный сервер кампании, расположенный по IP-адресу 118.107.43[.]65, размещён у хостинг-провайдера CTG Server Ltd в Гонконге. Этот провайдер неоднократно фигурировал в отчётах об активности Silver Fox, что указывает на его возможный статус "пуленепробиваемого" хостинга, терпимого к киберпреступной деятельности. Аналитики, изучившие образец вредоносного ПО, с высокой степенью уверенности атрибутируют всю кампанию группе Silver Fox. На это указывает совокупность факторов: характерная инфраструктура, использование специфического набора инструментов (ValleyRAT, BYOVD-руткит, DLL sideloading), таргетирование на конкретные китайские антивирусы и тематика приманки, соответствующая прошлым операциям этой группы.
Группа Silver Fox известна своей гибридной деятельностью, сочетающей финансовые мотивы с элементами государственно-ориентированного шпионажа. Её жертвами становятся преимущественно китайскоязычные пользователи и организации в регионе Юго-Восточной Азии, включая Тайвань, Гонконг, Сингапур и Малайзию. Обнаруженная кампания подчёркивает важность комплексного подхода к безопасности, который включает не только сигнатурный анализ, но и контроль за запуском легитимных, но уязвимых приложений, мониторинг необычной активности сетевых архивных утилит и анализ поведения процессов на уровне ядра для противодействия современным сложным угрозам.
Индикаторы компрометации
IPv4 Port Combinations
- 118.107.43.65:5040
Network
- 118.107.40.0/21
SHA256
- 8b3a49e89932a7c371ceca9ecbc6c0151e38dc97c191f7a0aa92a8baa8b6e8ab
