Il gruppo di cybercriminali noto come Silver Fox è stato recentemente individuato mentre orchestrava una sofisticata campagna di attacco informatico rivolta ad organizzazioni in Cina. Questa operazione fa uso di tecniche di SEO poisoning sfruttando falsi installatori di Microsoft Teams per distribuire il malware ValleyRAT, noto anche come Winos 4.0, un trojan collegato storicamente a gruppi di cybercrime cinesi. L’attività, iniziata a novembre 2025, si distingue per l’inserimento di elementi in cirillico nel loader malevolo, probabilmente per depistare le indagini e simulare un coinvolgimento russo.
Il malware ValleyRAT, variante del famigerato Gh0st RAT, consente agli attaccanti il controllo remoto dei sistemi infetti, il furto di dati sensibili, l’esecuzione di comandi e la persistenza a lungo termine sulle reti colpite. L’utilizzo di Gh0st RAT è tipicamente associato ad attori cinesi, ma la presenza di riferimenti russi mira a confondere i tentativi di attribuzione.
La campagna sfrutta i motori di ricerca per posizionare siti fake che offrono il download di un presunto installer di Teams. In realtà, gli utenti scaricano un archivio ZIP chiamato MSTчamsSetup.zip, ospitato su Alibaba Cloud, con nomi e dettagli che richiamano la lingua russa. All’interno si trova un file Setup.exe alterato che, una volta eseguito, verifica la presenza di soluzioni di sicurezza come 360 Total Security, manipola le esclusioni di Microsoft Defender e installa un ulteriore eseguibile malevolo, Verifier.exe, nella directory AppDataLocal.
Il malware crea diversi file aggiuntivi e carica nelle memoria di Windows una DLL malevola tramite il processo legittimo rundll32.exe. Lo stadio finale dell’attacco prevede la connessione a server esterni per scaricare il payload definitivo e garantire il controllo remoto del dispositivo compromesso.
Gli obiettivi di Silver Fox sono sia finanziari che di raccolta di intelligence, con gravi rischi per le vittime tra cui furto di dati, perdite economiche e compromissione dei sistemi. Il gruppo, agendo senza un chiaro collegamento governativo, beneficia della negabilità plausibile.
Catena di attacco parallelа tramite Telegram
Parallelamente, un’altra catena di attacco ValleyRAT è stata rilevata tramite un installer trojanizzato di Telegram, che sfrutta la tecnica Bring Your Own Vulnerable Driver (BYOVD) per caricare driver vulnerabili e disabilitare le difese del sistema. Il processo prevede la creazione di archivi protetti, l’installazione di componenti aggiuntivi, la manipolazione dei permessi e la persistenza tramite task pianificati e bypass dei controlli UAC.