Японские компании столкнулись с сезонной атакой: группировка Silver Fox использует налоговый период для целевого фишинга

Угроза под названием Silver Fox (также известная как Mustang Panda) активна как минимум с 2023 года. Изначально её мишенями были китаеязычные организации, однако со временем география операций расширилась до стран Юго-Восточной Азии, Японии и, потенциально, Северной Америки. Примечательно, что каждая кампания проводится на местном языке, что указывает на значительные ресурсы и адаптивность группы. Сфера интересов злоумышленников также разнообразна: под удар в разное время попадали финансовый сектор, здравоохранение, образование, игровая индустрия, государственные структуры и даже компании, занимающиеся кибербезопасностью. Текущая атака на японские компании не является спонтанной - аналогичная активность наблюдалась в тот же период прошлого года, что подтверждает стратегический подход группировки к планированию операций.

В рамках текущей кампании сотрудники компаний получают тщательно подготовленные фишинговые письма. Их тематика варьируется от уведомлений о нарушениях налогового законодательства и штрафах до информации об изменениях в программах участия сотрудников в акционерном капитале (ESOP), корректировках зарплат и кадровых перестановках. Для усиления эффекта доверия в теме письма часто прямо указывается название компании-жертвы, а в поле отправителя фигурируют имена реальных сотрудников или даже генеральных директоров этих организаций. Это свидетельствует о проведенной предварительной разведке (reconnaissance). Например, в отчёте исследователей приводятся такие темы писем, как "[Название компании] Уведомление о поправках к условиям участия в программе для сотрудников" или "Налоговое соответствие и уведомление о штрафе". Вложения или ссылки в письмах названы соответствующим образом, имитируя стандартные документы: "Уведомление о корректировке зарплаты" или "Изменения персонала и корректировка зарплаты".

Основная техническая цель атаки - доставка на компьютер жертвы трояна удалённого доступа ValleyRAT. Этот вредоносный инструмент давно находится в арсенале Silver Fox. После успешного внедрения он предоставляет злоумышленникам полный контроль над скомпрометированной системой, позволяя собирать конфиденциальные данные, следить за действиями пользователя и обеспечивать своё закрепление в системе . Это создаёт плацдарм для дальнейшего продвижения по корпоративной сети, кражи интеллектуальной собственности или финансовой информации, а также развёртывания дополнительных этапов атаки, таких как программы-вымогатели.

Эффективность данной кампании напрямую связана с её контекстуальностью. В период, когда сотрудники законно ожидают большого потока писем от HR и финансовых служб, бдительность естественным образом притупляется. Срочность, присущая вопросам налогов и зарплат, заставляет пользователей действовать быстро, минуя стандартные процедуры проверки. Однако, несмотря на качественную подготовку, письма Silver Fox содержат признаки, которые могут их выдать. Эксперты обращают внимание на возможные стилистические ошибки или чрезмерно формальный тон, несвойственный внутренней переписке, что может быть следствием неидеального владения языком со стороны атакующих. Также подозрительным является использование публичных файлообменников, таких как gofile[.]io, для рассылки якобы внутренних конфиденциальных документов. Ключевой рекомендацией остаётся обязательная перепроверка любого нестандартного запроса через отдельный, заранее известный канал связи - телефон, корпоративный мессенджер или прямой повторный запрос коллеге.

Для организаций этот инцидент служит своевременным напоминанием о необходимости усиления мер защиты в периоды повышенной операционной активности. Помимо стандартных технических контролей, таких как обновлённые сигнатуры антивирусов и фильтрация входящей почты, критически важна роль программ повышения осведомлённости о киберугрозах (Security Awareness). Сотрудников, особенно в финансовых и кадровых департаментах, необходимо обучать не только общим принципам кибергигиены, но и распознаванию целевых атак, привязанных к конкретным бизнес-циклам. Культура, в которой поощряется оперативное сообщение о любых подозрительных письмах в службу информационной безопасности без страха ошибиться, является одним из самых эффективных барьеров на пути подобных социально-инженерных атак. В конечном счёте, атака Silver Fox наглядно показывает, что в современном киберпространстве тактическая выдержка и критическое мышление каждого сотрудника становятся такими же важными элементами обороны, как и новейшие технологические решения.

MD5

• 050bded9abb9d590ed856494c627e2e9
• 0d46afcac922062342e351601a05ba97
• 12a0d942652609bce7319be6bf0135bb
• 16889dfe3c5507bd6c55346276380ea5
• 1af5b25acd2df31f44a54fc8dcd85287
• 21d9a30074d65babfef9e9e9684c6f5a
• 263282a6d3169db2b5288fae4ca1628b
• 2640d822edeb61b361e23456258fc1f2
• 267f48e174bdbece4235cf200dfc2503
• 2dd81ae480816ae59982ef0b28308ec7
• 30b7014370b42268d9f2f234ede3c473
• 336996263be598b498348855e7fda71c
• 36f265dabe69ae16e7baf0c15aa86dd2
• 38ecc57332dff5e505aae33528dbc4d2
• 4096a3df3f2c1e12ad8baf65b7aa627e
• 45828acc0fda6fb7a79c18f697cf634b
• 4f481a449ad050fea9ca3900118e5676
• 50cde63b1135cf39f4a3aed90cf15c11
• 52638a930b4c3ff5603978d674bb9415
• 547054bcbf78f8e07964e82b642e60b9
• 5661f72a6ba1598ba49e63fa121ef015
• 5c1239a2612987393a706b33eb9ea27c
• 5d29469672159fdb5d4aa4e02d36f60b
• 6533bcf04eb69e5119ceec156c41897f
• 65c2906d5afc04e4685eb41a84cb5205
• 6a55f2125228850d7ed7318d8110dfe8
• 6c870da5e21b65a7436adcd446ca1f41
• 6d0905d0445a6ffd48138d1fc9a7fc9a
• 7a1c4ccea43f902d9c9f4a24f3524567
• 82faa81f31ab74977ef8ca65157ae2fd
• 83584cb8043edf2f8bdefddf0ce843b4
• 8f8d4f67ebc47521f5e69b63636c0498
• 976a9b5742718833641a4303f567ac88
• a4489b07cb56be156e340272df8c79a8
• a5b0f1fba15e570655d3bedee0d2cdca
• a8b1f1fd03ea1c063e60ef840b5fe382
• b4247e276f9c0032957db9f28f84d88f
• b46f6df63070ceaf93418a666c685a0e
• baf07b67203378151f1566ba9ce28b56
• d1f691ef37c839d17567057a21b75bdb
• d260e063dc9b0f89576d8b18c8536054
• d72a7a69fbabb6c684b72ac3c9857c0a
• d83f279a67a3374514c8b08d9e1f4df9
• dfb07265ffe8a82a3d912c3a3fee5382
• e65c67def0ae80c05200965934455a05
• ecc2413899119db053dea97fce09b7f7
• f64c9e981ee29a4c1812327ea61bb5ce

SHA1

• 092d8e457cb9c54a757dad082740a45db67812ed
• 0a99da9359d4cc823f72853b7d9c974bd196305c
• 10adbfaccff4ada35f37cf88a7f869b88429b93f
• 11a1e60fc3d57ea652903239d46d245a512d2e53
• 160f9241ff8183a18b0f1453622c9432b087bf41
• 1eb13ad1f827e6ef72eb8a0023ef131c26f12e3e
• 2328e572532f382e237e7a1b74cb0531308f5704
• 25510d914499b6a746c0317c7081e3c0bf564aa6
• 2fa212ee231819a2343b60966cf53e1a8f8df927
• 3d1f8fef94c1b1ffa7829e030eba3bcfca737110
• 469e41dde5a31bc91af8aa5db807f9f29f85510d
• 4e6755a713bc7192f075312c1c499ac4ee9d70c2
• 51a0832fc378d08566427bf0510e1d7f922a8ae3
• 55358216844a60a5a0e895e858e3d75b8501fbb7
• 56cf8418fb7b599fe4df5e4b879ecb813132109a
• 589a931024960b253a34e3fca58c89368822d8fc
• 5bd82a88950e029312bcf55b1bb6528fe96a3046
• 62b5a6c1a45868b2454544888aef9ce18b4367d7
• 6b00123ad0510bb5df667a05b518a3573ac90546
• 6f93afebb90913e4410fd24580bae44a9ef852cc
• 7974bad0b55d681bd269d0367d38f3a49f99aacd
• 7b1bf4df1c8fc077d381fdb30962dfdeb6ccbaa5
• 7b772c2c24c5afda17d3aab2cb8c50f9099e0d65
• 80c5d1ae1ee86f607fdefbbc5f88c5539f8582b5
• 8a5907b4b4ab7b39aa3390249abcaa14e1618139
• 8aaac65ccfb4670650c090fdc8d140713fa45bf9
• 8abe494fd4143e77e1745b2576fc75d0d5ffe05c
• 8e32b303226f6016726315be2b7dda39aadd984e
• 8e65b41dc6b1c03ce3f9c9dd6c3f2dc44af53a43
• 93ffb9a59a3658dad9febc1221922832a5edf5b4
• a0233e66704b087c356dc5f30bd292ce4839be1a
• a3973e372f847d3ded1c877ad097c036c4cf43b2
• a4636d1c7d68b844748e68166f1985d2b594b4f3
• a74c078f662a78cd11d38c032689a0f5e9e53962
• b1b9a016b3fda14e3537dd73d15dcff83b168895
• c176ea706e8f0d5cc22b226634d3853e2509279b
• c8a3223bb0991c81d774a94316bccc64fb25b2a8
• c9559deb931b5ac9e1c491dd464ef331001a0851
• cbc31f3fbbadcd49122f1beac28f648f7d98cc50
• d5e18be55d01e3c7b301bcdefe44dade963bad44
• d9cd907d51cfd082796eb636abe2e43f32bd0247
• dae74b42e4a6f123f0c2329f772c70af8dec2d71
• e5c8f43fb31d1d627b42273d03ec15723f80733a
• f46d3dab258eddfcb1a10d531d8ab7992357b2cd
• f95cd0d3244a09b61d39a827505ef061a9f04a38
• fc5d4b1fb2bbc690016ff51567162865f3a0485b
• ff848dacc5062ed4c2eb51614c47a5d851dab6a0

SHA256

• 012a7d8b63e6dec27ab39e6296584f03457e7a2997cecca69211124dfc06e55d
• 02b9ce681a92c9f64ebe30f6dc3637a90fd4d1d1a182c0be3708525939fb75e7
• 167d317883b647fd7d91c8e4a2ac09f821049037b1998b3d67c6852aff2284af
• 1a38c444240870c5641cc45b510c08dd52f35483c74690db6f0e767ec1b7cb9b
• 1ee51eb5fc850655dd25f92ef43bb619684b266a7b5782aeac7759e289615d01
• 244a2f4dc256f6d1c3710a2d27656a6bc21ffadca8f3236d63b327ff2f0b33db
• 283971ee133699d518e88bf633b8164579e31ea5c00251eeebd9a39e0292ea35
• 29295a9e79f39157af74c74c63f8a0156f94721ec7a29a51330b9ea2c9dee820
• 31557fdfc5a091fae4e366cb826f33927f671b0fedef71bb4b381d33a111586d
• 354fcbc4a16a8b47424bed435da1c040218b13ed9fa5392a5917a411b6947f4f
• 35b9acf7f217534c178f2b2afbe6d9ae9cfc431829aa11157aecb2d084ca83cb
• 3f0a6ff46a68260250ccc9cb811855939ab56519c54cc0873640b1565d384052
• 45b0bc5a2fa319b9d3013ef22c002b1d359d45f943f0a93d05836652acb286c1
• 46d7cc620fd3650ad70b0ba964e3837d38a2f48fcef8d3e177bfb89f5d547b29
• 49afd1ff926b1ea8ff1d7316ea9aba50c4e4e771030f03fbfcb465b78efaee48
• 4ac19c722ebaf1fd8ec091bc288d2c587a71bbc3c8801a071a9aa4057c69ec8c
• 516dd5f495d697b199a9e7cc71f686c992b65d14b57c55d91068c0909bcc7b00
• 521b4fd2a98630b782b897793da025845029d80696b871620f731eeaf4ff950a
• 53bd1add0d364ef57993eaad0a84adefac9bb44d5047e17018468a069420913e
• 55b99f0d438800cad8288d81d2808728ce1bec8c22c5346a38a513dc6728b4ba
• 5adb91edb8a2c4a9a948a2dba85f787a179ec98b6432682df196c6356d50b23d
• 647ee8eeb990daab642a2179583217b95fc80ee57e03c699555605704f2e1769
• 677e42b1d3d7bfc87e5dddd1c7aad2c7142afb26e7ac0ace53f2996c3005ff90
• 690213bf93e06e34a00a58006eb677e42583f6e5c0fcc88571bb82eae0f78710
• 6a66f0540fc7717e48bbec0235dd4128794b0cfee9d58e5907e9f39e65023c17
• 6bd4cce1b7e4d305d4667850f1d071ee1f2785ecf52e1bc1032087a35dd4791b
• 71698b56c0c4d0cab0913a33a1683261f00a97d2b31553f840eb2e22608e07c2
• 78a7fb189e0d4cb91ff0bada8a92f14bede6dd80eccc1403bee13ea0c19b20d5
• 7a3fb43f828f046c64c94c86533c324f2c2f4e16da2adee90e2e363b8771f990
• 7c186e7e55b9eee9bc5a0b68310dadd1e06681983cb0efa27542a3a22964f5bf
• 8c4386cecc89f5f2dee323f2a1e0d9f42a28905be812de14173ca7ee9fc64e72
• 90f7e2a7779a30598dc22bfbfcf40fe0d3b77387d5b239c2a0bbdf716d823e36
• 9d7f8e321082b46dcf625d7b24dcb9c72710e87a1a66cccd265cdbe926e78813
• a13fa1073ad96cf8a9d4a09ea1730ca7927df4e8b03ee3dd080be46d342efb6a
• a21e0b5ebc1cd7c5443aa01a155895cc2ce95e48fc3bb1f78d19c3e7406c4515
• a23640778b836420eecb5461938a98ad3588d2044359daf6b4b25ecaf35c996e
• a4f09289b1b9a7a698a7880a2d306de19a60ede45c2abb3cebe84fabda989a74
• a83eca305b9b682f2f3eb7d130b8c8e68743cf5eaa8704ff136fb3659a086822
• acca258713692d82ea4b9bdf72dfa6dadc65083b1d37828bac0d2e6af6ba1712
• ad05eeb70dc7ab34926e31da2be97d3503ce4ef96084df74db9e9c102923d3ff
• b1398d15d45d439a2abd5f7341b870de0818df357ebc78e7410465b74409dfa5
• b3abf2663b48daadfbf959e1edd337026e6a59df4592fbf76e7d034c3de82c19
• c9418a82ac4f63ed7b1e9ffb9e43e0d5b58535fe6b21bd4b2ea09020093caef0
• ca11ac11dc9dd8d2c6b95bc422a4c2f3d986f8dd5e508fb8d6e2b8aa7b4d5a31
• cb427b629d9046737bb940664122fbb76ed5586032101be61ac856ef2554178d
• f5b4cb8dbec6da40f54025b8cdb298110af2c9f118862db968a9e1e58f7af2d3
• f8a32e98f1f7be4b2b301ad0e0fa7eef819aa1916d33480c61964ee1ca8cf9a2