Китайская угроза, известная под именами "Серебряная лиса" (SilverFox) продолжает эволюционировать, представляя всё большую опасность для бизнеса в Азиатско-Тихоокеанском регионе и за его пределами. Если изначально это была централизованная группировка, то сегодня эксперты по безопасности всё чаще описывают её как децентрализованную экосистему вредоносных инструментов. Эта трансформация стала возможной после утечки в открытый доступ исходного кода её флагманского трояна Gh0stRAT. Теперь любой злоумышленник с базовыми техническими навыками может адаптировать этот код под свои нужды, что привело к взрывному росту атак, нацеленных на финансовый сектор, энергетику и фондовый рынок. Новый инцидент наглядно демонстрирует, как атакующие радикально меняют тактику, отказываясь от кастомных вредоносов в пользу легитимного программного обеспечения для удалённого администрирования.
Описание
Поводом для расследования послужил классический симптом компрометации: сотрудник одной из компаний пожаловался на то, что курсор мыши на его рабочем компьютере двигается сам по себе, без участия пользователя. Исключив аппаратную неисправность, специалисты по кибербезопасности приступили к анализу системы и обнаружили подозрительный установочный пакет. Изначально программа маскировалась под легитимный служебный софт, однако её истинной целью была тихая установка коммерческого программного обеспечения для удалённого управления и мониторинга (RMM). Злоупотребление такими инструментами, как ScreenConnect, AnyDesk или TeamViewer, давно стало излюбленным приёмом продвинутых угроз, включая APT-группу MuddyWater, что позволяет злоумышленникам действовать под прикрытием легального трафика.
Детальный анализ позволил выявить цепочку атаки. Начальной точкой стал VBS-скрипт, подвергнутый простому обфускации с явными следами китайского происхождения в виде комментариев на этом языке. Его задача - загрузить и исполнить MSI-пакет. Для повышения живучести скрипт использовал несколько методов загрузки, последовательно перебирая их в случае неудачи. В ход шли как стандартные системные утилиты вроде "certutil.exe", так и их переименованные копии, маскирующиеся под системные файлы, чтобы обойти примитивные правила обнаружения. Целевой MSI-файл загружался с облачного хранилища Backblaze B2, домен которого часто фигурирует в белых списках межсетевых экранов, что гарантировало беспрепятственную доставку вредоносной нагрузки.
Ключевой находкой стал анализ самого MSI-пакета. Внутри находился дистрибутив легального ПО для удалённого администрирования, снабжённый действительной цифровой подписью разработчика. Это классический приём тактики "живи за счёт земли" (Living off the Land), когда атакующие используют встроенные или легитимные инструменты операционной системы и сторонних вендоров для достижения своих целей. Цифровая подпись эффективно обманывает средства защиты, основанные на статическом анализе и репутации, а богатый функционал RMM-программы - сбор данных о системе, удалённый рабочий стол, управление файлами и процессами - предоставляет злоумышленнику все необходимые возможности для полного контроля над компьютером, закрепления в системе и перемещения по сети.
Проведя расширенную разведку, специалисты обнаружили целый кластер аналогичных MSI-установщиков, использующих одинаковую инфраструктуру и методику загрузки. Однако наиболее убедительные доказательства происхождения атаки были получены при анализе командного сервера. IP-адрес, к которому подключался установленный RMM-клиент, уже фигурировал в марте 2026 года в кампаниях по распространению трояна ValleyRAT - модифицированного варианта основного инструментария "Серебряной лисы". Более того, ещё в 2025 году появились данные о том, что эта группировка эксплуатировала уязвимость в драйвере того же самого RMM-программы для принудительного завершения процессов систем безопасности. Позднее этой уязвимости был присвоен идентификатор CVE-2025-68947. Этот факт указывает на то, что атакующие не просто используют легальный софт, а проводят его глубокий реверс-инжиниринг и поиск собственных уязвимостей для усиления атаки.
Данный инцидент служит тревожным сигналом для корпоративного сектора и индустрии информационной безопасности. Во-первых, он окончательно хоронит подход, полагающийся исключительно на проверку цифровых подписей и репутацию файлов. Современные средства защиты должны делать акцент на анализе поведения: отслеживании аномальных действий легальных программ, таких как тихая установка, установка неавторизованных соединений или подозрительные вызовы процессов. Во-вторых, атака в очередной раз подчёркивает критическую важность человеческого фактора. Начальным вектором часто становится фишинг или инженерная социальная атака, побуждающая сотрудника запустить подозрительный скрипт или установочный файл. Поэтому непрерывное обучение персонала основам кибергигиены, умению распознавать угрозы и следовать политикам безопасности остаётся одним из ключевых элементов защиты. Борьба с такими адаптивными и скрытными угрозами требует перехода от простого запрета "плохих" файлов к комплексному мониторингу и анализу действий всех субъектов в корпоративной сети.
Индикаторы компрометации
IPv4
- 143.92.37.168
- 202.79.165.130
Domains
- fawanyoufa.s3.us-west-004.backblazeb2.com
URLs
- https://fawanyoufa.s3.us-west-004.backblazeb2.com/VibeCheck.msi
SHA256
- 15a730d22f25f87a081bb2723393e6695d2aab38c0eafe9d7058e36f4f589220
- 31537f91f17d6bd121bc5b4b499e5c765eb5aa0ea69c3d3c4aaaddab730a5dbb
- 4a4bd3a6474a498337fe2a86edecdee4ab0b9d6c07123a68ea6c0f4464b0a888
- 873def31bdac44384b6c11607ab7d08e8429f1b8407f5d6adb8d5fd198321d66
- daf8ab97e0468bc1c504df9066d823d1c62462f57f0194eee242b07f16cd1d25
