Silver Fox 侵害グループに関連した一連のサイバーキャンペーンが明らかにした2025年から2026年にかけての戦術の転換は、スパイ活動スタイルの作戦と金銭的動機を持つサイバー犯罪の組み合わせを示しています。
サイバーセキュリティ企業 Sekoia が観測したこれらのキャンペーンは、税務当局と財務文書をテーマにしたフィッシング詐欺を使用して南アジア全体の組織をターゲットにしていました。最近の脅威インテリジェンスレポートに従っています。
研究者たちは、このグループの活動が3つの異なる段階を通じて進化したことを発見しました。高度なマルウェア配信から遠隔管理ツール、その後 WhatsApp アプリケーションに偽装したカスタム Python ベースの認証情報窃盗ツールへと移行しています。
キャンペーンの進化と技術
Silver Fox は当初、国家税務当局になりすましたフィッシングメール内で悪質な PDF 添付ファイルを使用していました。これらのメールは、DLL サイドロード技術を通じて ValleyRAT マルウェアを配信するドキュメントを開くように財務スタッフを騙すよう設計されていました。
その後のキャンペーンでは戦術が変わりました。攻撃者は添付ファイルを直接送信する代わりに、マルウェアまたは遠隔監視ツールを含むダウンロード可能なアーカイブをホストするフィッシングウェブサイトを使用しました。
2026年初頭までに、グループは再度シフトし、認証情報と機密ファイルを収集するよう設計された Python ベースの窃盗ツールを配布していました。
キャンペーンの主要な特徴は以下を含みます:
-
税務当局または給与部門になりすましたフィッシングメール
-
マルウェア配布のための SEO ポイズニングと悪質な広告の使用
-
ValleyRAT、 HoldingHands およびカスタム窃盗ツールを含む複数のツールの配備
-
台湾、日本、マレーシア、インド、インドネシア、シンガポール、タイ、フィリピン全体の組織をターゲット化
二重の動機: スパイ活動と利益
Sekoia の研究者たちは、Silver Fox が二重の目的で活動していると考えています。一部のキャンペーンは、特に税務監査期間中の台湾組織をターゲットにしたもので、インテリジェンス収集と一致しているように見えました。その他はより広範で、利益主導のサイバー犯罪作戦とより一致していました。
サイバースパイについてもっと読む: 中国のサイバースパイが 150% 増加、CrowdStrike が発見
他のツールと並んで ValleyRAT を継続して使用しているグループは、攻撃者が侵害されたシステムへの長期的なアクセスを維持しながら迅速に適応できるモジュール型アプローチを示唆しています。一方、正当な遠隔管理ソフトウェアと単純な認証情報窃盗ツールの使用は、継続的な金銭的動機を持つ活動を示しています。
ツールと配信方法の変更にもかかわらず、グループのコア戦術は、主要な侵入方法として使用される税務および財務テーマのフィッシング詐欺と一致していました。これらのフィッシングメッセージにより、攻撃者は複数の業界とセクターをターゲットにすることができました。
報告書は、Silver Fox が日和見的なサイバー犯罪作戦と、より戦略的なキャンペーンの両方を維持している可能性が高いと結論付けています。これは、サイバー犯罪と国家関連のサイバー活動の間の線がますます曖昧になっているというより広範なトレンドを反映しています。
翻訳元: https://www.infosecurity-magazine.com/news/silver-fox-cyber-dual-espionage/
