2026-05-04 00:00
← VoltarO grupo de crimes cibernéticos com sede na China conhecido como Silver Fox (também conhecido como Monarch, SwimSnake, The Great Thief of Valley, UTG-Q-1000 e Void Arachne) foi vinculado a uma nova campanha direcionada a organizações na Rússia e na Índia com um novo malware chamado ABCDoor. A atividade envolveu o uso de e-mails de phishing que imitam correspondência do Departamento de Imposto de Renda da Índia em dezembro de 2025, seguido por uma campanha semelhante dirigida a entidades russas em janeiro de 2026. “Ambas as ondas seguiram uma estrutura quase idêntica: e-mails de phishing foram denominados como avisos oficiais sobre auditorias fiscais ou solicitaram aos usuários que baixassem um arquivo contendo uma ‘lista de violações fiscais’”, disse Kaspersky. "Dentro do arquivo havia um carregador modificado baseado em Rust, extraído de um repositório público. Este carregador baixaria e executaria o conhecido backdoor ValleyRAT." Estima-se que a campanha tenha impactado organizações nos setores industrial, de consultoria, varejo e transporte. Mais de 1.600 e-mails de phishing foram sinalizados entre o início de janeiro e o início de fevereiro. O que é notável sobre essas ondas de phishing é a entrega de um novo plugin ValleyRAT que funciona como um carregador para um backdoor baseado em Python, anteriormente não documentado, de codinome ABCDoor. O backdoor, de acordo com a empresa russa de segurança cibernética, faz parte do arsenal do ator de ameaça desde pelo menos 19 de...
O grupo de crimes cibernéticos com sede na China conhecido como Silver Fox (também conhecido como Monarch, SwimSnake, The Great Thief of Valley, UTG-Q-1000 e Void Arachne) foi vinculado a uma nova campanha direcionada a organizações na Rússia e na Índia com um novo malware chamado ABCDoor. A atividade envolveu o uso de e-mails de phishing que imitam correspondência do Departamento de Imposto de Renda da Índia em dezembro de 2025, seguido por uma campanha semelhante dirigida a entidades russas em janeiro de 2026. “Ambas as ondas seguiram uma estrutura quase idêntica: e-mails de phishing foram denominados como avisos oficiais sobre auditorias fiscais ou solicitaram aos usuários que baixassem um arquivo contendo uma ‘lista de violações fiscais’”, disse Kaspersky. "Dentro do arquivo havia um carregador modificado baseado em Rust, extraído de um repositório público. Este carregador baixaria e executaria o conhecido backdoor ValleyRAT." Estima-se que a campanha tenha impactado organizações nos setores industrial, de consultoria, varejo e transporte. Mais de 1.600 e-mails de phishing foram sinalizados entre o início de janeiro e o início de fevereiro. O que é notável sobre essas ondas de phishing é a entrega de um novo plugin ValleyRAT que funciona como um carregador para um backdoor baseado em Python, anteriormente não documentado, de codinome ABCDoor. O backdoor, de acordo com a empresa russa de segurança cibernética, faz parte do arsenal do ator de ameaça desde pelo menos 19 de dezembro de 2024 e foi usado em ataques cibernéticos a partir de fevereiro ou março de 2025.
O ponto de partida da cadeia de ataque é um e-mail de phishing contendo um arquivo PDF, que apresenta dois links clicáveis que levam ao download de um arquivo ZIP ou RAR hospedado em “abc.haijing88[.]com”. Na campanha detectada em dezembro de 2025, o código malicioso teria sido incorporado diretamente nos arquivos anexados ao e-mail. Presente no arquivo está um executável que imita um arquivo PDF. O binário é uma versão modificada de um carregador de shellcode de código aberto e uma estrutura de desvio de antivírus chamada RustSL. O primeiro uso registrado de RustSL pela Silver Fox remonta ao final de dezembro de 2025. O objetivo final da variante Silver Fox RustSL é descompactar a carga maliciosa criptografada, ao mesmo tempo em que implementa cercas geográficas baseadas no país e verificações de ambiente para detectar máquinas virtuais e sandboxes. Embora a variante GitHub inclua apenas a China em sua lista de países, a versão personalizada apresenta Índia, Indonésia, África do Sul, Rússia e Camboja. Descobriu-se que uma variante do carregador emprega um novo método chamado Phantom Persistence para estabelecer persistência no host comprometido.
Foi documentado pela primeira vez em junho de 2025. “Este método abusa da funcionalidade projetada para permitir que aplicativos que exigem reinicialização para atualizações concluam o processo de instalação corretamente”, explicou Kaspersky. "Os invasores interceptam o sinal de desligamento do sistema, interrompem a sequência normal de desligamento e acionam uma reinicialização sob o pretexto de uma atualização do malware. Conseqüentemente, o carregador força o sistema a executá-lo na inicialização do sistema operacional." A carga criptografada carregada pelo RustSL resulta no download do malware criptografado ValleyRAT (também conhecido como Winos 4.0), com o componente principal ("login-module.dll_bin") responsável pelas comunicações de comando e controle (C2), execução de comandos e recuperação e execução de módulos adicionais. Um dos módulos personalizados implantados como parte do ataque após uma segunda verificação de geofencing é o ABCDoor, que contata um servidor externo via HTTPS e processa mensagens recebidas para facilitar a persistência, lidar com atualizações e remoções de backdoor, coletar dados como capturas de tela, ativar controle remoto de mouse e teclado, executar operações do sistema de arquivos, gerenciar processos do sistema e exfiltrar o conteúdo da área de transferência. Recentemente, em novembro de 2025, Silver Fox foi observado usando um carregador JavaScript para entregar ABCDoor, com o carregador distribuído por meio de arquivos autoextraíveis (SFX) que foram empacotados em arquivos ZIP, provavelmente enviados por e-mails de phishing. Desde então, versões mais recentes do RustSL expandiram o foco geográfico para incluir o Japão. O maior número de ataques ha Foi detectado na Índia, Rússia e Indonésia, seguidos pela África do Sul e Japão.
A maioria das amostras de carregadores descobertas empregaram iscas com tema fiscal para imitar a sequência de infecção. “Desde 2024, [Silver Fox] evoluiu para um modelo operacional de via dupla que conduz simultaneamente atividades oportunistas extensas e lucrativas e atividades de espionagem”, disse S2W. “Nas fases iniciais, o grupo atacou a China, mas depois expandiu o seu âmbito operacional para Taiwan e o Japão”. “O grupo Silver Fox utiliza principalmente técnicas de spear phishing altamente personalizadas para infiltração inicial, implantando cenários de ataque sofisticados e diversificados, adaptados às questões sazonais do país alvo e às características de trabalho do alvo.” Aprenda como impedir ataques do paciente zero antes que eles ignorem a detecção e comprometam seus sistemas nos pontos de entrada. Aprenda como validar caminhos de ataque reais e reduzir riscos exploráveis com validação contínua de segurança de agente. Receba as últimas notícias, insights de especialistas, recursos exclusivos e estratégias de líderes do setor, tudo gratuitamente.