Nhóm tác nhân đe dọa được biết đến với tên Silver Fox đã bị phát hiện đang dàn dựng một chiến dịch giả mạo (false flag operation) để bắt chước một nhóm đe dọa của Nga trong các cuộc tấn công nhắm vào các tổ chức ở Trung Quốc.
Chiến dịch lây nhiễm tối ưu hóa công cụ tìm kiếm (SEO poisoning campaign) này sử dụng các mồi nhử Microsoft Teams để lừa người dùng không nghi ngờ tải xuống một tệp cài đặt độc hại, dẫn đến việc triển khai ValleyRAT (Winos 4.0), một mã độc nổi tiếng có liên quan đến nhóm tội phạm mạng Trung Quốc. Hoạt động này đã diễn ra từ tháng 11 năm 2025.
"Chiến dịch này nhắm mục tiêu vào người dùng nói tiếng Trung Quốc, bao gồm cả những người trong các tổ chức phương Tây đang hoạt động tại Trung Quốc, sử dụng một trình tải 'ValleyRAT' đã được sửa đổi có chứa các yếu tố Cyrillic – nhiều khả năng là một động thái cố ý để đánh lừa việc gán tội," nhà nghiên cứu Hayden Evans của ReliaQuest cho biết trong một báo cáo được chia sẻ với The Hacker News.
ValleyRAT, một biến thể của Gh0st RAT, cho phép các tác nhân đe dọa điều khiển từ xa các hệ thống bị nhiễm, trích xuất dữ liệu nhạy cảm, thực thi các lệnh tùy ý và duy trì sự bền bỉ lâu dài trong các mạng mục tiêu. Đáng chú ý là việc sử dụng Gh0st RAT chủ yếu được cho là do các nhóm tấn công mạng Trung Quốc.
Việc sử dụng Teams cho chiến dịch SEO poisoning đánh dấu một sự thay đổi so với các nỗ lực trước đây đã sử dụng các chương trình phổ biến khác như Google Chrome, Telegram, WPS Office, và DeepSeek để kích hoạt chuỗi lây nhiễm.
Chiến dịch SEO này nhằm mục đích chuyển hướng người dùng đến một trang web giả mạo có tùy chọn tải xuống phần mềm Teams được cho là hợp pháp. Trên thực tế, một tệp ZIP có tên "MSTчamsSetup.zip" được truy xuất từ một URL Alibaba Cloud. Kho lưu trữ này sử dụng các yếu tố ngôn ngữ Nga để gây nhầm lẫn trong các nỗ lực gán tội.
Bên trong tệp là "Setup.exe," một phiên bản Teams bị trojan hóa được thiết kế để quét các tiến trình đang chạy tìm các tệp nhị binary liên quan đến 360 Total Security ("360tray.exe"), định cấu hình loại trừ cho Microsoft Defender Antivirus, và ghi phiên bản Microsoft installer bị trojan hóa ("Verifier.exe") vào đường dẫn "AppData\Local\" và thực thi nó.
Mã độc tiếp tục ghi thêm các tệp, bao gồm "AppData\Local\Profiler.json," "AppData\Roaming\Embarcadero\GPUCache2.xml," "AppData\Roaming\Embarcadero\GPUCache.xml," và "AppData\Roaming\Embarcadero\AutoRecoverDat.dll."
Ở bước tiếp theo, nó tải dữ liệu từ "Profiler.json" và "GPUcache.xml," và khởi chạy DLL độc hại vào bộ nhớ của "rundll32.exe," một tiến trình hợp pháp của Windows, để tránh bị phát hiện. Cuộc tấn công chuyển sang giai đoạn cuối với việc mã độc thiết lập kết nối với một máy chủ bên ngoài để lấy payload cuối cùng nhằm tạo điều kiện điều khiển từ xa.
"Mục tiêu của Silver Fox bao gồm lợi ích tài chính thông qua trộm cắp, lừa đảo và gian lận, cùng với việc thu thập thông tin tình báo nhạy cảm để giành lợi thế địa chính trị," ReliaQuest cho biết. "Các mục tiêu đối mặt với rủi ro tức thì như rò rỉ dữ liệu, tổn thất tài chính và hệ thống bị xâm nhập, trong khi Silver Fox duy trì khả năng phủ nhận hợp lý (plausible deniability), cho phép nó hoạt động kín đáo mà không có tài trợ trực tiếp từ chính phủ."
Tiết lộ này được đưa ra khi Nextron Systems nhấn mạnh một chuỗi tấn công ValleyRAT khác sử dụng trình cài đặt Telegram bị trojan hóa làm điểm khởi đầu để kích hoạt một quá trình đa giai đoạn cuối cùng cung cấp trojan. Cuộc tấn công này cũng đáng chú ý vì sử dụng kỹ thuật Bring Your Own Vulnerable Driver (BYOVD) để tải "NSecKrnl64.sys" và chấm dứt các tiến trình giải pháp bảo mật.
"Trình cài đặt này thiết lập một loại trừ nguy hiểm cho Microsoft Defender, dàn dựng một kho lưu trữ được bảo vệ bằng mật khẩu cùng với một tệp nhị phân 7-Zip được đổi tên, và sau đó giải nén một tệp thực thi giai đoạn hai," nhà nghiên cứu bảo mật Maurice Fielenbach cho biết.
"Trình điều phối giai đoạn hai đó, men.exe, triển khai các thành phần bổ sung vào một thư mục dưới hồ sơ người dùng công cộng, thao tác các quyền tệp để chống lại việc dọn dẹp, và thiết lập sự bền bỉ thông qua một tác vụ theo lịch trình chạy một script VBE được mã hóa. Script này sau đó khởi chạy một trình tải driver dễ bị tấn công và một tệp nhị phân đã ký để sideload DLL của ValleyRAT."
Men.exe cũng chịu trách nhiệm liệt kê các tiến trình đang chạy để xác định các tiến trình liên quan đến bảo mật điểm cuối, cũng như tải driver "NSecKrnl64.sys" dễ bị tấn công bằng "NVIDIA.exe" và thực thi ValleyRAT. Hơn nữa, một trong những thành phần chính được thả bởi tệp nhị phân điều phối là "bypass.exe," cho phép leo thang đặc quyền thông qua việc bỏ qua User Account Control (UAC).
"Trên bề mặt, nạn nhân thấy một trình cài đặt bình thường," Fielenbach nói. "Trong nền, mã độc dàn dựng các tệp, triển khai các driver, can thiệp vào các biện pháp phòng thủ, và cuối cùng khởi chạy một beacon ValleyRAT để duy trì quyền truy cập lâu dài vào hệ thống."
