Новая кампания Silver Fox APT против японских пользователей: поддельные счета Rakuten и техника перехвата DLL

Основной вектор атаки представлял собой архив Electronic12862330415.zip, размещенный на домене missallanahstarr[.]com. Письма содержали ссылку на этот архив и отсылали получателя к поддельному электронному счету на сумму двенадцать тысяч иен. Внутри архива находились два файла: легитимный подписанный сертификатами Dell и Waves Audio исполняемый файл MaxxAudioControl64.exe и вредоносная динамически подключаемая библиотека MaxxAudioAPOShell64.dll. При запуске исполняемый файл загружал библиотеку из своего рабочего каталога, что позволяло вредоносной библиотеке перехватить управление и установить связь с командно-контрольным сервером (C2) по адресу 137.220.153[.]175 на порту 886. Сервер C2 располагался в Гонконге в автономной системе AS4907 BGPNET PTE. LTD., которая ранее фигурировала в рейтинге ведущих хостинг-провайдеров для инфраструктуры управления атаками.

Техника перехвата DLL через легитимное подписанное программное обеспечение широко известна у Silver Fox. Ранее группа использовала аналогичные методы с SodaMusicLauncher от ByteDance, Foxit Reader и переименованными антивирусными файлами Cyren. Однако использование аудио-драйвера MaxxAudio от Waves в качестве подгрузчика вредоносной библиотеки является новым элементом, ранее не описанным в открытых источниках. Исполняемый файл MaxxAudioControl64.exe, будучи подписанным, мог пройти через любые списки разрешенных приложений, что делало его идеальной маскировкой.

Особый интерес вызывает регистрационная информация домена missallanahstarr[.]com. Как обнаружили аналитики, данные WHOIS содержали несколько несоответствий. Домен зарегистрировали в июне 2025 года на имя "hei fei zhe ye" с адресом "Kyoto, Saitama, JP". Однако Киото и Сайтама - это две разные префектуры, расположенные на противоположных сторонах острова Хонсю на расстоянии около четырехсот пятидесяти километров друг от друга. Любой реальный житель Японии не стал бы писать их вместе как единый адрес. Электронная почта регистранта lugai665@163.com принадлежит китайскому провайдеру NetEase, что крайне нетипично для японского пользователя. Домен обновляли 15 апреля 2026 года, за день до старта рассылки, а срок его действия истекал ровно через год после регистрации без продления. Такая комбинация указывает на то, что операторы специально подготовили инфраструктуру для краткосрочной атаки, но допустили ошибки при заполнении фиктивных данных.

Внутри самого вредоносного импланта обнаружились конфигурационные поля с китайскими строками, означающими "примечание по умолчанию" и "группа по умолчанию". Это стандартные заполнители из панели управления Gh0st RAT, которые оператор не заменил на собственные. Такое поведение может указывать на неопытного участника группировки, использовавшего готовый билдер без настройки, или на осознанный выбор опытного оператора, не желающего оставлять уникальные идентификаторы. В любом случае эта находка исключила возможность тщательного нейминга кампании и подтвердила использование именно семейства ValleyRAT.

Совокупность признаков - использование ValleyRAT, техника перехвата DLL через подписанное ПО, китайская электронная почта регистранта, нацеленность на японских пользователей и гонконгский сервер C2 на нестандартном порту - позволила с высокой уверенностью атрибутировать кампанию группе Silver Fox APT. Исследователи, извлекшие конфигурацию вживую, напрямую указали на эту группировку. Альтернативные версии, такие как действия обычных операторов Gh0st RAT или групп Winnti и APT41, отклонили из-за несоответствия характерным для Silver Fox признакам.

Для бизнеса и обычных пользователей данная кампания несет серьезные риски. Установка ValleyRAT дает злоумышленникам полный контроль над зараженным компьютером: кражу учетных данных, запись нажатий клавиш, доступ к корпоративным сетям и дальнейшее распространение. Рекомендуется обратить внимание на индикаторы компрометации, опубликованные в аналитических отчетах, включая хэши SHA-256 файлов из архива и IP-адрес C2. Организациям следует усилить контроль за запуском исполняемых файлов из нестандартных расположений, особенно при появлении подписанных драйверов аудио от Dell или Waves в неожиданных контекстах.

Таким образом, кампания от 16 апреля 2026 года стала еще одним свидетельством расширения операций Silver Fox в Японии. Использование новой вариации техники перехвата DLL с легитимным драйвером MaxxAudio показывает, что группа продолжает адаптироваться и искать способы обхода защиты. Специалистам по безопасности рекомендуется обновить правила обнаружения и проверить сети на наличие аномального трафика к гонконгским хостам на порту 886.

IPv4

• 103.115.56.66
• 137.220.153.175

IPv4 Port Combinations

• 137.220.153.175:886

Domains

• a8.share-dns.com
• b8.share-dns.net
• missallanahstarr.com

SHA256

• 17d6415df0d336e255df7689ae90039e48fd6e95d43fbbc34d5b4875ea9af47d
• 610d48ae96a2494ebfd760d4ff6647bb95f57fac92f4bc8513329f1337d6c7f2
• f0fc5a9aead0bed9f97e4a007bf712aef4ab95e1abaf6150fee7f51602d57347