Silver Fox атакует налоговые службы России и Индии: новые инструменты RustSL и ABCDoor

Эксперты связывают эту активность с группой Silver Fox, известной своими атаками на государственные и коммерческие структуры в Азиатско-Тихоокеанском регионе. В ходе расследования аналитики обнаружили не только уже знакомые инструменты, такие как троян удалённого доступа ValleyRAT, но и новые разработки: модифицированную версию загрузчика RustSL и ранее неизвестный бэкдор на языке Python, названный ABCDoor.

Как устроена атака

Фишинговые письма имитировали сообщения от налоговой службы. В январской кампании для России злоумышленники вкладывали в письмо PDF-файл, содержащий ссылки на скачивание архива с вредоносным содержимым. Сам архив был назван "фнс.zip" - сокращение от "Федеральная налоговая служба". В декабрьской кампании для Индии вредоносный код встраивался непосредственно в файлы, прикреплённые к письму.

Такой подход позволяет обойти почтовые шлюзы безопасности: PDF-файл содержит только ссылку, которую необходимо проанализировать, поэтому письмо с большей вероятностью доходит до получателя. Жертву побуждают открыть архив, внутри которого находится исполняемый файл с иконкой PDF или Excel - на самом деле это загрузчик RustSL.

Загрузчик RustSL: антивирусный обходник с открытым исходным кодом

RustSL - это фреймворк для обхода антивирусов, исходный код которого опубликован на GitHub с описанием на китайском языке. Он предоставляет возможности настройки: восемь методов шифрования полезной нагрузки, тринадцать способов выделения памяти, двенадцать техник обнаружения песочниц и виртуальных машин, тринадцать методов выполнения полезной нагрузки и пять методов кодирования. По умолчанию все строки шифруются, а в код вставляются мусорные инструкции, затрудняющие анализ.

Группа Silver Fox адаптировала RustSL под свои нужды, добавив собственные модули. Один из них - "steganography.rs" - отвечает за распаковку зашифрованной полезной нагрузки. Несмотря на название, со стеганографией он не связан: просто извлекает данные, окружённые маркерами "<RSL_START>" и "<RSL_END>". Для расшифровки используется модифицированный XOR-алгоритм с ключом, который меняется после каждой итерации.

Другой модуль - "guard.rs" - реализует проверку окружения и геозонирование. Загрузчик определяет страну, в которой находится заражённое устройство, отправляя запросы к пяти публичным сервисам (например, ip-api.com). Если устройство находится за пределами разрешённого списка (Индия, Индонезия, ЮАР, Россия, Камбоджа, а с середины января 2026 года - ещё и Япония), загрузчик прекращает работу.

Один из образцов загрузчика, скомпилированный 7 января 2026 года, использовал недавно задокументированную технику Phantom Persistence для закрепления в системе. Эта техника перехватывает сигнал выключения системы, имитирует перезагрузку для установки обновлений и заставляет вредоносное ПО запускаться при старте операционной системы.

Цепочка заражения: от загрузчика к ValleyRAT

Инфекционная цепочка начинается с запуска исполняемого файла - модифицированного RustSL. Затем загрузчик извлекает зашифрованную полезную нагрузку, которая представляет собой шелл-код. Этот шелл-код загружает с сервера злоумышленников зашифрованный модуль ValleyRAT, называемый "онлайн-модулем" (оригинальное имя на китайском - "上线模块.dll"). Онлайн-модуль, в свою очередь, загружает основной компонент ValleyRAT - "логин-модуль" ("登录模块.dll_bin"). Этот модуль отвечает за связь с командным центром, выполнение команд и загрузку дополнительных модулей.

ValleyRAT - хорошо известный троян удалённого доступа. Его конфигурация содержит IP-адреса командных серверов, порты и другие параметры. В данной кампании после запуска основного модуля загружались два ранее не встречавшихся модуля с именами, содержащими китайские иероглифы. Эти модули отвечали за загрузку и запуск нового бэкдора ABCDoor.

ABCDoor: невидимый бэкдор на Python

ABCDoor представляет собой Python-бэкдор, скомпилированный с помощью Cython в DLL-файл. Он выполняется в легитимном процессе pythonw.exe, что позволяет ему долгое время оставаться незамеченным. Бэкдор использует асинхронную архитектуру на основе asyncio и Socket.IO для связи с командным центром по HTTPS.

После установки ABCDoor прописывает себя в автозагрузку двумя способами: через ветку реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Run и через планировщик задач, создавая задачу с интервалом запуска в одну минуту. Бэкдор собирает информацию о системе: имя устройства, версию операционной системы, уникальный идентификатор. Он также способен управлять файлами, процессами, буфером обмена, а также вести трансляцию экрана с помощью встроенной утилиты ffmpeg.

Отличительная особенность ABCDoor - отсутствие традиционной функции удалённой командной строки. Вместо этого бэкдор позволяет эмулировать двойной клик мыши с трансляцией экрана или открывать файлы с помощью функции "os.startfile". Такое поведение делает его похожим на инструмент для удалённого управления, а не на классический бэкдор. При этом все команды обрабатываются асинхронно, что усложняет обнаружение.

Первая версия ABCDoor была скомпилирована ещё в конце 2024 года, но активное использование в атаках началось с февраля-марта 2025 года. За год бэкдор прошёл несколько этапов эволюции: от простого загрузчика до полнофункционального инструмента с поддержкой нескольких мониторов, шифрования файлов и самообновления.

География и масштаб

По данным телеметрии, больше всего атак пришлось на Индию, Россию и Индонезию. В меньшей степени пострадали организации в ЮАР и Японии. Файлы загрузчиков чаще всего распространялись в архивах с названиями, связанными с налогами, что подтверждает единую кампанию.

Выводы

Эта кампания демонстрирует, что злоумышленники активно используют доверие пользователей к официальным сообщениям от государственных органов. Сочетание проверенных инструментов (ValleyRAT) и новых разработок (RustSL, ABCDoor) свидетельствует о росте технической оснащённости группы Silver Fox. Расширение географии целей, в частности добавление России и Японии, говорит о том, что группа ищет новые жертвы за пределами традиционного азиатского региона.

Многоступенчатая архитектура доставки полезной нагрузки и сегментированная инфраструктура (разные домены и серверы для разных этапов атаки) серьёзно затрудняют блокировку всей цепочки. Компаниям стоит усилить меры защиты: фильтрацию почтовых вложений, обучение сотрудников распознаванию фишинга и мониторинг подозрительных процессов, особенно связанных с запуском pythonw.exe и нестандартными сетевыми соединениями.

IPv4

• 108.187.37.85
• 108.187.41.221
• 108.187.42.63
• 139.180.128.251
• 154.82.81.192
• 154.82.81.205
• 192.163.167.14
• 192.229.115.229
• 192.238.205.47
• 207.56.119.216
• 207.56.138.28
• 45.192.219.60
• 45.32.108.178
• 57.133.212.106

IPv4 Port Combinations

• 45.118.133.203:5000

Domains

• abc.3mkorealtd.com
• abc.doublemobile.com
• abc.fetish-friends.com
• abc.haijing88.com
• abc.ilptour.com
• abc.petitechanson.com
• abc.sudsmama.com
• abc.woopami.com
• mcagov.cc
• roldco.com
• vnc.kcii2.com

MD5

• 039e93b98ef5e329f8666a424237ae73
• 04194f8ddd0518fd8005f0e87ae96335
• 043e457726f1bbb6046cb0c9869dbd7d
• 06130dc648621e93acb9efb9fabb9651
• 0b9b420e3edd2ade5edc44f60ca745a2
• 0c3b60ffc4ea9ccce744bfa03b1a3556
• 1020497bef56f4181aefb7a0a9873fb4
• 11705121f64fa36f1e9d7e59867b0724
• 13669b8f2bd0af53a3fe9ac0490499e5
• 1aa72cd19e37570e14d898dff3f2e380
• 1d1f71936db05f67765f442feb95f3fd
• 202a5bcb87c34993318cfa3fa0c7ecb0
• 27a3c439308f5c4956d77e23e1aad1a9
• 2b92e125184469a0c3740abcaa10350c
• 2c5a1dd4cb53287fe0ed14e0b7b7b1b7
• 32407207e9e9a0948d167dca96c41d1a
• 3279307508f3e5fb3a2420dec645f583
• 3417b9cf7acb22fae9e24603d4de1194
• 3c6aec25ebb2d51e1f16c2eef181c82a
• 44299a368000ae1ee9e9e584377b8757
• 4a5195a38a458cdd2c1b5ab13af3b393
• 4d343515f4c87b9a2ffd2f46665d2d57
• 4fc5ec1de89ce3fcdd3e70db4a9c39d1
• 4fc8c78516a8c2130286429686e200ed
• 5390e8bf7131caaaa98a5dd63e27b2bc
• 53b68ca8d7a54c15700cf9500ae4a4e2
• 5b998a5bc5ad1c550564294034d4a62c
• 5ed84b2099e220d645934e1fd552ae3a
• 6495c409b59deb72cfcb2b2da983b3bb
• 6611e902945e97a1b27f322a50566d48
• 6cf382d3a0eae57b8baaa263e4ed8d00
• 70016ddbcb8543bdb06e0f8c509ee980
• 70ae9ca2a285da9005a8acb32dd31ace
• 79cd56fc9abf294b9ba8751e618ec642
• 7f27818e4244310a645984ccc41ea818
• 814032eec3bc31643f8faa4234d0e049
• 84e54c3602d8240ed905b07217c451cd
• 891de2ff486a1824f2db01c1bdf1d2e9
• 8ac5bee89436b29f9817e434507fef55
• 8fc911ca37f9f451a213b967f016f1f8
• 90257aa1e7c9118055c09d4a978d4bee
• 933f1cb8ed2ced5d0dd2877c5ea374e8
• 9bf9f635019494c4b70fb0a7c0fb53e4
• a083c546dc66b0f2a5e0e2e68032f62c
• a0d1223ca4327aa5f7674bda8779323f
• a234850dfdfd7ee128f648f9750dd2c4
• a543b96b0938de798dd4f683dd92a94a
• a75713f0310e74ffd24d91e5731c4d31
• ad39a5790b79178d02ac739099b8e1f4
• b0e06925db5416dfc90babf46402cd6f
• b23d302b7f23453c98c11ca7b2e4616e
• b500e0a8c87dffe6f20c6e067b51afbf
• b53e3cc11947e5645dfbb19934b69833
• b5ca812843570dcf8e7f35cacab36d4a
• b6df7c59756ab655ca752b8a1b20cffa
• c50c980d3f4b7ed970f083b0d37a6a6a
• cb3d86e3ec2736ee1c883706fca172f8
• d17caf6f5d6ba3393a3a865d1c43c3d2
• d1d78cd1436991adb9c005cc7c6b5b98
• dd0114ffacc6610b5a4a1cb0e79624cc
• de8f0008b15f2404f721f76fac34456a
• dfc64dd9d8f776ca5440c35fef5d406e
• e5e8ef65b4d265bd5fb77fe165131c2f
• e6362a81991323e198a463a8ce255533
• e66bae6e8621db2a835fa6721c3e5bbe
• eefc28e9f2c0c0592af186be8e3570d2
• f15a67899cfe4decff76d4cd1677c254
• f7037cc9a5659d5a1f68e88582242375
• f8371097121549feb21e3bcc2eeea522
• fa08b243f12e31940b8b4b82d3498804