MalwareBazaarにアップロードされた偽Telegramインストーラーの新しい分析により、Silver Foxが中国語ランゲージパック-デコイの背後に隠され、異常なZPAQベースのパッカーを使用した新しい配信チェーンでValleyRAT操作を拡大していることが明らかになりました。
MSIはWiX構築インストーラー(IssueAccentRequest、4.49 MB)で、ファイル抽出直後にVBScriptカスタムアクションをSYSTEMとして実行し、ARPSYSTEMCOMPONENT=1経由でプログラムの追加と削除から隠れます。
実行されると、スクリプトは3つのファイルを抽出します:正規のzpaqfranz解凍ユーティリティの名前変更されたコピーと、Silver Foxツールセット全体を含む2つの暗号化ZPAQアーカイブです。
2026年4月8日、研究者がMalwareBazaar上で点击安装中文语言包a.msi(「クリックして中国語言語パック aをインストール」)という名前の悪意のあるMSIを発見しました。Telegramの中国語言語パックインストーラーを装い、ValleyRATとカーネルモードルートキットを配信しています。
PowerShellコードはアーカイブパーツをマージし、小さなキー(0x38、56番目のバイトごとに特別に処理)でXOR復号化してから、ペイロードの解凍をzpaqfranzに渡します。
6段階の感染チェーン
攻撃者は、無害に見えるTelegramインストーラーから完全な永続的なValleyRAT感染(カーネル権限付き)への移行に6段階のチェーンを使用します。
- ステージ1–3:MSIのVBScriptとPowerShellロジックはアーカイブを再構築および復号化し、zpaqfranzを呼び出して外側のZPAQとパスワード保護された内側アーカイブ(パスワード:1+427aafwqYOGGlOahjE)を抽出します。
- ステージ4:スクリプトはWMIで中国系消費者AVプロセス(360 SafeのZhuDongFangYu.exe、Tencent PC ManagerのQQPCRTP.exe、HuorongのHipsDaemon.exe)をクエリし、実行中のプロセスに応じてDLLサイドローディングチェーンまたはC:\Windowsへの直接ドロップを選択します。
- ステージ5:ValleyRATが起動し、118.107.43.65:5040のコマンドアンドコントロールサーバーに接続し、正規のwnBiosドライバーに基づくBYOVDルートキットが読み込まれて生のメモリアクセスを取得します。
- ステージ6:カバーを維持するために、インストーラーはtg://setlanguage?lang=classic-zh-cnを開き、Telegramが要求された言語パックを本当に適用し、通常のインストールという幻想を強化します。
ZPAQおよびByteDance LOLBins
注目すべき点は、署名されたzpaqfranz v60/v63.2バイナリを7-ZipやWindows組み込み解凍器のようなより一般的なツール代わりにLOLBinパッカーとして使用していることです。
マルウェア検出シグネチャにおけるZPAQの低プロファイルは、7z.exeまたはWinRARベースのマルウェア抽出を具体的に監視するルールを回避するために魅力的です。
360またはTencent AVが存在する場合、マルウェアはメインペイロードを直接ドロップするのを避け、代わりに署名されたByteDance昇格サービスであるSodaMusicLauncher.exeを悪用して、悪意のあるDLL(powrprof.dllおよびwsc.dll)をサイドロードします。
バイナリはBeijing Microlive Vision Technology / Beijing Bytedance Network Technologyによって署名され、AppShellElevationServiceとして実行され、中国市場システムでブロックされる可能性が低い信頼できるホワイトリスト化されたプロセスで攻撃者にコード実行を与えます。
ValleyRATペイロードはNimコンパイル64ビットPEで、キャンペーンタグ(mEGLoIEgCfaQ)、オペレーターグループ(「King-New」)、カーネルドライバー識別子、永続ディレクトリ名、およびC2 IP 118.107.43.65をエンコードする暗号化された設定文字列を持っています。
2番目のNimローダーであるDesignAccent.exeはスケジュール設定されたタスクとしてインストールされ、HTTPおよび画像処理モジュールをインポートし、スクリーンショット取得またはステガノグラフィC2などの機能を示唆しています。
ステルスと防御回避のため、Silver Foxは再び脆弱なドライバーに頼ります:wnBios 1.2.0.0、任意の物理メモリの読み書きのプリミティブを公開する正規のWincor Nixdorf BIOSアクセスドライバーです。
このドライバーを使用して、グループはカーネルセキュリティ機能をオフにし、PatchGuardを妨害し、プロセスを隠し、付属のeRMqYUTL.sysブロブから暗号化されたシェルコードを挿入できます。
アクティブなC2サーバーである118.107.43.65はCTG Server Ltd(香港)によって118.107.40.0/21ネットブロック上でホストされており、ValleyRATおよび関連ツールを配布する偽Teams and Telegramインストーラーを含む複数のSilver Fox操作にすでにリンクされたブレットプルーフホスティング範囲です。
外部スキャンではカスタムC2ポート5040およびNetBIOS(139/tcp)が公開されていますが、それ以外はほとんどなく、ホストが受動的な偵察に対して厳密にフィルタリングされていることを示しています。
ValleyRAT、BYOVDベースのルートキット、DLLサイドローディング、およびCTGサーバーインフラストラクチャの組み合わせは、このトレードクラフトをVoid Arachneおよび同様のエイリアスとしても追跡される中国関連のSilver Foxグループに結びつける前の報告と一致しています。
以前の研究は、同じアクターがTelegram、Teams、および他の中国で人気のあるソフトウェアのトロイア化されたインストーラー経由でValleyRATを配布することを文書化しており、多くの場合360とTencent製品に調整されたAV認識ロジックを備えています。
追加の高シグナル動作にはMSIパッケージが含まれます。PowerShellをスポーンするVBScriptカスタムアクション(タイプ7238)を使用し、予期しないzpaqfranz.exe実行、標準以外のパスを指すAppShellElevationServiceの作成、Telegram以外のプロセスによって呼び出されるtg://setlanguage URI、およびwnBios 1.2.0.0を参照するカーネルドライバーロードパスです。
ディフェンダーは118.107.43.65をブロックし、可能であれば広範な118.107.40.0/21 CTGサーバー範囲をブロックし、GjdLUhqZIJJB.exe、SingMusice.exe、DesignAccent.exeなどの疑わしいプロセス名を検索する必要があります。
翻訳元: https://gbhackers.com/silver-fox-campaign/
