Il gruppo di cybercriminali noto come Silver Fox ha recentemente espanso le proprie attività malevole, portando la distribuzione del malware Winos 4.0 e del trojan di accesso remoto HoldingHands RAT anche in Giappone e Malesia. Inizialmente confinato a obiettivi in Cina e Taiwan, Silver Fox adotta ora strategie di phishing più sofisticate, sfruttando email che veicolano file PDF con link dannosi.
Winos 4.0 viene diffuso principalmente tramite campagne di phishing e tecniche di SEO poisoning, ingannando le vittime e indirizzandole verso siti che imitano software diffusi come Google Chrome, Telegram, Youdao e WPS Office. Una volta installato, il malware è in grado di eseguire una vasta gamma di azioni malevole, tra cui disabilitare software di sicurezza, eseguire escalation dei privilegi, terminare servizi critici come il Task Scheduler e caricare DLL malevole che eludono i sistemi di difesa comportamentale.
Un aspetto interessante delle ultime campagne è la capacità di HoldingHands RAT di comunicare con server remoti, inviare informazioni sul sistema infetto e ricevere comandi per eseguire ulteriori azioni, come l’installazione di altri payload o il furto di dati sensibili. Una nuova funzione rilevata consente di aggiornare dinamicamente l’indirizzo C2 tramite una chiave di registro di Windows, aumentando la resilienza dell’infrastruttura di comando e controllo.
Le tecniche avanzate e le recenti campagne
Silver Fox, riconosciuto anche con i nomi SwimSnake, Valley Thief e Void Arachne, fa spesso ricorso a tecniche avanzate come l’abuso di driver vulnerabili (BYOVD) per disabilitare le difese dei sistemi bersaglio. Le sue campagne sono state documentate anche in relazione ad attacchi mirati a Taiwan, Giappone e recentemente aziende cinesi del settore fintech e criptovalute, con l’operazione denominata Silk Lure.
L’approccio di ingegneria sociale è altamente mirato: email con allegati LNK camuffati da curriculum vitae vengono inviate ai reparti HR, facilitando l’installazione silenziosa del malware. Successivamente, la minaccia ottiene persistenza, esegue attività di ricognizione come screenshot e raccolta di dati, e tenta di rimuovere gli antivirus più diffusi. La pericolosità di queste infezioni si riflette nell’alto rischio di spionaggio, furto di identità e compromissione delle credenziali aziendali.