Silver Foxとして知られるサイバー犯罪シンジケートは、税務監査を装って攻撃を巧妙に隠蔽し、秘密裏の存在を延続するためにデジタル兵器を絶え間なく変異させている。Sekoiaの研究機関によれば、歴史的に詐欺的な活動で知られているこの中国系の集団は、過去1年間で武器庫を大幅に高度化させたにもかかわらず、迅速な金銭詐欺という従来のパラダイムを頑なに堅持している。実際のところ、Silver Foxは両方の戦術をシームレスに融合させ、無差別な広範なフィッシング活動を展開しながら、同時に精巧に標的化された外科的な操作を遂行している。
本ドキュメントの調査者たちによると、2025年の始まり以来、Silver Foxは連続的な波状の襲撃を遂行してきており、最初の波は台湾に降り掛かった。犯人たちは税務監査の脅威を兵器化し、財務省からの公式な命令として巧みに偽装された有毒なPDFファイルを含む電子メールを送付した。このドキュメントが開封されると、デバイスはSilver Foxの主要なモジュール式バックドアであり、Winosとも呼ばれているValleyRATで秘密裏に感染させられた。その後、Fortineのセキュリティ研究者たちは、この同じ手口が日本とマレーシアに転移・蔓延していることを記述した。
2025年の末が近づくにつれ、この攻撃活動は深刻な変化を遂行した。有毒な添付ファイルを放棄して、Silver Foxは標的国の特定の外観に精巧に調整された偽造税務サービスポータルへのハイパーリンクの配布を開始した。この地理的な広がりはマレーシア、フィリピン、タイ、インドネシア、シンガポール、インドを包含するまでに拡大した。
攻撃の次の段階に進み、シンジケートは正当な中国系の遠隔管理ツールを乗っ取り、不正な構成から生じた脆弱性を悪用した。デジタル侵害者たちはコマンドサーバーの接続情報をファイル名を通じて直接巧みに送信し、この工夫により実行ファイルの暗号化署名は汚されずに保つことができ、検出される危険性を大幅に減少させた。
今年の2月に、Silver Foxは再び感染チェーンを変形させ、以前のペイロードをPythonで設計された貪欲な情報盗聴ツールに置き換えた。この新しいツールはWhatsAppを装い、TDRインテリジェンスによると、侵害されたデバイスからテレメトリーを略奪してから、暗号化されたデータをコマンドサーバーに流出させた。法医学的な証拠はおおむねマレーシアへの集中的な攻撃を示していたが、専門家たちはシンジケートの活動は実際にはより広大であり、南アジアと東南アジアの広大な地域に暗い影を落としていると推測している。
Sekoiaはこの絶え間ない進化をSilver Foxの本質的な二面的な性質に起因すると考えている。一方では、集団はValleyRAT、HoldingHands、および洗練された防御的回避戦術を含む複雑に入り組んだ兵器を駆使しており、これは秘密裏の情報収集のための細心の準備を強く示唆している。一方で、彼らが財務および会計的な囮に依存していること、彼らの広大な地理的野心、およびRMMアーキテクチャや情報盗聴ツールなどの普遍的なツールへの転換はすべて、違法な侵入を迅速に金銭化しようとする貪欲な追求の明白な特徴を示している。Silver Foxの活動における傭兵型サイバー犯罪と国家が支援するサイバースパイの間の境界線は、不可逆的に消滅し続けている。
