Silver Fox usa instalador falso do Microsoft Teams para espalhar malware ValleyRAT em campanha de SEO na China

O grupo hacker conhecido como Silver Fox foi identificado conduzindo uma operação de falsa bandeira para simular a atuação de hackers russos em ataques direcionados a organizações na China. A campanha, ativa desde novembro de 2025, utiliza SEO poisoning para manipular resultados de busca e induzir usuários a baixar um instalador falso do Microsoft Teams. O arquivo, que contém elementos em cirílico para confundir analistas e dificultar atribuição, instala o malware ValleyRAT (Winos 4.0) uma variante do Gh0st RAT amplamente associada a grupos hackers chineses.

Segundo o pesquisador Hayden Evans, da ReliaQuest, a campanha mira usuários que falam chinês, incluindo funcionários de empresas ocidentais que operam no país. Ao acessar um site fraudulento que imita a página oficial do Teams, a vítima é induzida a baixar um arquivo ZIP hospedado na nuvem da Alibaba. O pacote contém um instalador adulterado (“Setup.exe”), projetado para desativar proteções, manipular exclusões do Microsoft Defender e depositar um instalador malicioso secundário (“Verifier.exe”) no diretório AppData.

Uma vez iniciado, o malware cria e manipula diversos arquivos internos, carrega uma DLL maliciosa no processo legítimo rundll32.exe e, em seguida, se conecta a um servidor externo para baixar o payload final. Com isso, o ValleyRAT obtém acesso remoto ao sistema, podendo executar comandos arbitrários, exfiltrar dados sensíveis e manter persistência prolongada dentro da rede comprometida. A ReliaQuest observa que os objetivos do Silver Fox combinam ganhos financeiros como golpes, fraudes e roubos com coleta de inteligência estratégica.

A divulgação ocorre no momento em que a empresa Nextron Systems chamou atenção para outra cadeia de ataque envolvendo o ValleyRAT, desta vez distribuído por um instalador trojanizado do Telegram. Esse ataque multiparte é particularmente sofisticado, utilizando a técnica Bring Your Own Vulnerable Driver (BYOVD) para carregar o driver vulnerável “NSecKrnl64.sys” e derrubar ferramentas de segurança. O instalador fraudulento também configura exclusões perigosas no Microsoft Defender, extrai executáveis adicionais e cria persistência por meio de tarefas agendadas e scripts codificados.

Um componente chamado men.exe coordena a instalação dos módulos maliciosos, manipula permissões de arquivos e utiliza binaries assinados para fazer DLL sideloading do ValleyRAT. Ele também carrega drivers vulneráveis usando “NVIDIA.exe” e executa o malware final. Outro arquivo, “bypass.exe”, é usado para explorar uma falha de elevação de privilégios e contornar o UAC, ampliando o controle do invasor sobre o sistema. “Para a vítima, tudo parece um instalador comum”, destaca o pesquisador Maurice Fielenbach. “Mas em segundo plano, o ataque prepara o ambiente, desativa defesas, instala drivers e abre um canal de acesso persistente para os hackers.”

Via - THN