脅威インテリジェンスチームは、Silver Fox(Void Arachneとしても知られている)を追跡しており、これは中国を拠点とした侵害セットであり、金銭的動機に基づく サイバー犯罪とAPTスタイルのスパイ活動の交差点に位置しています。
元々は大規模で利益重視型のキャンペーンに関連していたこのグループは、モジュール型バックドア、ルートキット、脆弱なドライバーの悪用を含む、より高度なトレードクラフトを着実に採用してきました。
2025年から2026年初頭までのTDRの監視は、南アジア全域の税務テーマのフィッシング操作に関連した3段階の進化を強調しています。
第1段階では、Silver Foxはフラッグシップ製品であるValleyRAT(別名Winos)バックドアに依存しており、国税局になりすまった悪意あるPDF添付ファイルで配信されていました。
レポートによると、最近の活動は Silver Fox が再度調整していることを示しており、今回は従来のRAT多用チェーンから離れて、悪用されたリモート監視ツールと WhatsApp ユーティリティに偽装したカスタム Python ステーラーに移行しています。
これらのルアーは、台湾の営利企業所得税監査ウィンドウに関する実際のコミュニケーションに乗っており、信頼性とクリックスルー率を高めていました。
Silver Fox税務監査フィッシング
被害者は、財務省の発表になりすましたPDFを含む短い公式に見えるメールを受け取り、ファイルを開くとValleyRATで終わる複数段階のチェーンがトリガーされました。
技術的には、初期感染は隠されたクリック可能な注釈を含むPDFに依存しており、Tencent Cloud(myqcloud)インフラストラクチャからZIPアーカイブをフェッチしていました。
アーカイブには、ローダーとして使用されるDLL(python311.dll)と、最終的にValleyRATを実行する実行可能ファイルが含まれていました。その設定は、公開ユーザーディレクトリの下に保存されているデコイJPGから取得されました。
そこから、ValleyRATモジュラープラグインは、キーストロークログ、リモートコントロール、セキュリティバイパス、データ流出を実現し、金銭的悪用と潜在的なインテリジェンス収集の両方をサポートしていました。
この段階は主に中国、台湾、その後日本とマレーシアの企業に影響を与え、単一のルアーテーマが複数の地理的位置に対して再利用された方法を示しています。
2025年12月中旬までに、第2段階は注目すべき運用上の転換をシグナルしていました。ValleyRATを直接配信する代わりに、Silver Foxはメールからリンクされたフィッシング税務テーマのウェブサイトを通じて取得された、SyncFutureTec Company Limitedによって署名された正当な中国リモート監視管理(RMM)ツールをデプロイしました。
RMM インストーラーのファイル名には IPv4 アドレスが埋め込まれていて、その後に「ClientSetup.exe」が続き、IP 文字列はコマンドアンドコントロールエンドポイントとして機能し、攻撃者は署名付きバイナリを変更することなく C2 パラメータを渡すことができました。
この誤設定の悪用は、ツールのデジタル署名を保持し、静的信頼コントロールの回避を支援し、マレーシア、フィリピン、タイ、インドネシア、シンガポール、インドへのターゲット拡大を実現しました。
2026年2月に観測された第3の最新段階では、RMMペイロードを偽のWhatsAppバックアップアプリケーションの背後に隠されたコンパイルされたPythonステーラーに置き換えました。
Pythonステーラー:増加する脅威
フィッシングサイトはマレー語にローカライズされ、154.201.87[.]0/24範囲のインフラストラクチャでホストされており、ブラウザおよびアプリケーションアーティファクトを収集し、カスタムUser-Agentストリング「WhatsAppBackup/1.0」を使用してxqwmwru[.]topのC2にアップロードする実行可能ファイルを配信しました。
「C:\WhatsAppBackup\WhatsAppData.zip」などのアーティファクトとテンポラリロックファイルは、侵害されたホストに目印を付けます。一方、C2フロントエンドはWhatsApp Webを模倣し、悪意のあるトラフィックを予想されるパターンにブレンドするために使用されます。
盗まれた認証情報は、その後、ビジネスメール侵害、アカウント乗っ取り、ダウンストリームの詐欺を引き起こす可能性があります。
3つの段階すべてにおいて、Silver Foxの定数は、特定のマルウェアファミリーではなく、文化的かつ官僚的に慣れている税務または給与のルアーの使用です。
TDRは、ValleyRATとHoldingHandsツールキットは、より高い価値のスパイ活動スタイルの操作のために利用可能なままであると評価していますが、RMM悪用とPythonステーラーは、スケーラブルで利益志向のキャンペーンに適しています。
このデュアルトラック体制は、日和見的な金銭犯罪と選別的なAPTのような侵入を組み合わせており、国家関連のスパイ活動とサイバー犯罪の間の境界が引き続きぼやけ続けている、より広い2025~2026年のトレンドを反映しています。
南アジア以降の防御者にとって、リモートツールまたは「WhatsAppバックアップ」ユーティリティに関連した税務シーズンフィッシングを発見することは、Silver Foxアクティビティの最も明確な初期警告かもしれません。
翻訳元: https://gbhackers.com/silver-fox-tax-audit/
