Шпионы или грабители? Silver Fox сами ещё не решили, зачем им ваши данные
Тактика этих хакеров заводит следователей в тупик.
Киберпреступная группа Silver Fox маскирует атаки под налоговые проверки и всё чаще меняет инструменты, чтобы дольше оставаться незамеченной. По данным специалистов Sekoia, группа из Китая, известная прежде как участник мошеннических кампаний, за последний год заметно усложнила арсенал, но не отказалась от привычной схемы быстрого заработка. На практике Silver Fox совмещает оба подхода сразу — запускает массовые фишинговые рассылки и параллельно ведёт более точечные операции.
Авторы отчёта пишут, что с начала 2025 года Silver Fox развивала кампании в несколько волн. Первая пришлась на Тайвань. Злоумышленники использовали тему налогового аудита и рассылали письма с вредоносным PDF-файлом, замаскированным под уведомление от финансового ведомства. После открытия документа на устройство загружался ValleyRAT — основной модульный бэкдор группы, также известный как Winos. Позднее Fortinet зафиксировала расширение той же схемы на Японию и Малайзию.
К концу 2025 года кампания изменилась. Вместо вложений в письмах Silver Fox начала отправлять ссылки на поддельные сайты налоговых служб, оформленные под конкретные страны. География выросла до Малайзии, Филиппин, Таиланда, Индонезии, Сингапура и Индии.
На следующем этапе группа стала применять легитимный китайский инструмент удалённого администрирования, уязвимый из-за неверной настройки. Параметры подключения к управляющему серверу злоумышленники передавали прямо через имя файла, что позволяло не менять подпись исполняемого файла и снижало риск обнаружения.
В феврале этого года Silver Fox снова перестроила цепочку заражения и заменила прежнюю нагрузку на стилер, собранный на Python. Новый образец маскировался под WhatsApp и, по данным TDR, собирал данные с заражённого устройства, а затем отправлял архивы на сервер управления. Следы указывали на кампанию против Малайзии, хотя специалисты считают, что активность группы остаётся шире и охватывает значительную часть Южной и Юго-Восточной Азии.
Sekoia связывает такую эволюцию с двойной природой Silver Fox. С одной стороны, группа использует более сложные средства, включая ValleyRAT, HoldingHands и техники обхода защиты, что похоже на подготовку к сбору разведданных. С другой стороны, налоговые и бухгалтерские приманки, широкая география и переход к универсальным инструментам вроде RMM-софта и стилеров говорят о стремлении быстро монетизировать доступ. Граница между киберпреступностью и кибершпионажем в деятельности Silver Fox продолжает стираться.