中国と関連のある脅威グループとして知られているSilver Foxは、そのサイバー作戦を大幅に拡大し、純粋に金銭的な動機から、日和見的な攻撃と高度なスパイ活動の両方を含む二面的なモデルへシフトしています。
2022年以降活動している同グループは、当初は中国内の組織を標的にしていましたが、その後台湾、日本、そして最近ではアジア太平洋地域にターゲットをシフトさせています。
2025年から2026年初頭にかけて、Silver Foxは標的を個人ユーザーから医療、金融、企業ネットワークへと拡大し、マレーシア、インドネシア、シンガポール、タイ、フィリピンにおける攻撃を行っています。
Silver Foxは心理操作と技術的回避の組み合わせに大きく依存し、主に高度にカスタマイズされたフィッシングおよびなりすまし キャンペーンを通じて初期の侵害を実行しています。
同グループは、台湾の税務監査シーズンに攻撃を合わせるために国税局になりすますなど、現地のビジネス環境に対する深い理解を示しています。
これらのフィッシングメールには二重のトラップが含まれることが多く、偽装されたショートカット ファイルまたは埋め込みマクロを含むOfficeドキュメントを使用してユーザーに初期ローダーをダウンロードするよう騙します。
最近確認されたキャンペーンでは、これらのメール内の悪意のあるPDFをクリックすると、クラウドバケットインフラストラクチャから第2段階ペイロードのダウンロードがトリガーされることが示されています。
これにより、「SyncFutureTec Company Limited」で署名された正規のリモート監視および管理ツールをインストールすることで、ネットワーク上の足がかりを確立します。
2026年2月までに、同グループは機密情報を抽出するために設計されたPythonベースのスティーラーを導入し、盗まれたデータをリモートサーバにアップロードする前にWhatsAppバックアップZIPファイルなどの痕跡を残しています。
Silver Foxは公開されているソフトウェア脆弱性に依存していませんが、そのマルウェアの兵器庫は広範で、永続的なリモートアクセスとデータ窃取のために設計されています。
同グループは、ValleyRAT、Nidhogg rootkit、HoldingHands、CleverSoar、AtlasCross、Gh0stCringe、PNGPlug、Catena、およびGh0st RATを含む、感染した環境を制御するための多くの悪意のあるツールを展開しています。
初期アクセスを獲得した後、攻撃者は正規のデジタル署名を持つが既知のセキュリティ欠陥がある古いまたは曖昧なドライバーを導入します。
これらのサードパーティ製ドライバーの脆弱性を悪用することにより、脅威アクターはカーネルレベルの特権でコマンドを実行でき、実行中の アンチウイルスプロセスを効果的に終了させ、防御ソフトウェアを無力化することができます。
進化し続けるこれらのSilver Foxキャンペーンから防御するには、多層的なセキュリティアプローチが必要です。組織は脅威を軽減するために次のステップを実行する必要があります:
翻訳元: https://cyberpress.org/silver-fox-update-lures/
