Silver Fox ValleyRAT Malware-Kampagne
Ein unter dem Namen Silver Fox agierender Angreifer hat eine aufwendige False-Flag-Operation gestartet, um seine Aktivitäten als die einer russischen Gruppe zu tarnen. Die Kampagne zielt auf chinesischsprachige Nutzer ab, darunter Mitarbeiter westlicher Organisationen mit Niederlassungen in China, und setzt dabei vor allem auf Suchmaschinenmanipulation und gefälschte Microsoft Teams-Installationsprogramme, um einen bekannten Remote-Access-Trojaner zu verbreiten.
Inhaltsverzeichnis
Als russischer Schauspieler getarnt
Die jüngsten Aktivitäten von Silver Fox konzentrieren sich auf den strategischen Versuch, Analysten durch die Nachahmung russischer Bedrohungsgruppen in die Irre zu führen. Um diese Illusion zu verstärken, betten die Angreifer kyrillische Elemente in modifizierte ValleyRAT-Komponenten ein und verpacken sogar Schadsoftware mit russisch anmutenden Namenskonventionen. Diese gezielte Irreführung erschwert die Zuordnung und ermöglicht es der Gruppe gleichzeitig, finanziell und geopolitisch motivierte Ziele zu verfolgen.
SEO-Vergiftung und themenbezogene Köder für Teams
Seit November 2025 führt Silver Fox eine SEO-Manipulationskampagne durch, die darauf abzielt, Opfer anzulocken, die nach Microsoft Teams suchen. Im Gegensatz zu früheren Aktionen, bei denen Tools wie Chrome, Telegram, WPS Office und DeepSeek missbraucht wurden, konzentriert sich diese Welle ausschließlich auf Teams.
Manipulierte Suchergebnisse leiten Nutzer auf eine betrügerische Website, die sich als legitime Teams-Downloadseite ausgibt. Anstelle der Originalsoftware erhalten die Opfer ein ZIP-Archiv namens „MSTчamsSetup.zip“, das auf Alibaba Cloud gehostet wird. Die kyrillischen Zeichen im Dateinamen verstärken den Verdacht einer Täuschung.
Trojanisiertes Installationsprogramm und heimliche Installation
Die ZIP-Datei enthält die Datei Setup.exe, ein manipuliertes Teams-Installationsprogramm, das einen mehrstufigen Angriff auslöst. Nach dem Start führt es Systemprüfungen durch, sucht nach Binärdateien, die mit einem bestimmten Sicherheitstool verknüpft sind, und verändert die Einstellungen von Microsoft Defender durch das Hinzufügen von Ausschlussregeln. Außerdem legt es ein manipuliertes Microsoft-Installationsprogramm – „Verifier.exe“ – im Verzeichnis AppData\Local des Benutzers ab und startet es, um den Infektionsablauf aufrechtzuerhalten.
Die Schadsoftware generiert anschließend mehrere Hilfsdateien in den Ordnern AppData\Local und AppData\Roaming. Aus diesen Dateien lädt sie Konfigurationsdaten und injiziert eine schädliche DLL-Datei in rundll32.exe, eine vertrauenswürdige Windows-Komponente. Dadurch kann sich die Schadsoftware nahtlos in legitime Prozesse einfügen.
Aktivierung von ValleyRAT (Winos 4.0)
Die letzte Phase mündet in den Einsatz von ValleyRAT, einer Weiterentwicklung von Gh0st RAT. Nach der Aktivierung ermöglicht es die Fernausführung von Befehlen, permanente Überwachung, Datendiebstahl und die vollständige Systemkontrolle. Obwohl Varianten von Gh0st RAT üblicherweise chinesischen Cyberkriminellengruppen zugeschrieben werden, versucht Silver Fox durch die Einbeziehung russischer Elemente, die Schuldfrage zu verschieben.
Endziele und Auswirkungen
Die Operationen von Silver Fox dienen sowohl finanziellen als auch nachrichtendienstlichen Zwecken. Die Gruppe strebt nach Profit durch Betrug, Täuschung und Diebstahl und sammelt gleichzeitig sensible Informationen, die geopolitischen Einfluss ermöglichen können. Opfer müssen mit unmittelbaren Konsequenzen rechnen:
- Datendiebstahl und Offenlegung vertraulicher Informationen.
- Finanzielle Verluste durch Betrug oder unbefugte Aktivitäten.
- Langfristige Gefährdung interner Systeme und Netzwerke.
Warum diese False-Flag-Aktion wichtig ist
Indem Silver Fox eine ausländische Bedrohungsgruppe imitiert, wahrt die Organisation die Möglichkeit, jegliche Beteiligung glaubhaft abzustreiten, und agiert ohne die üblicherweise gegen staatlich geförderte Organisationen gerichtete Kontrolle. Diese ausgeklügelte Verschleierungsstrategie, kombiniert mit einer sich ständig weiterentwickelnden Infektionskette, unterstreicht die Notwendigkeit erhöhter Wachsamkeit, verstärkter Endpunktverteidigung und kontinuierlicher Überwachung, insbesondere für Organisationen, die in Regionen tätig sind, die häufig Ziel komplexer Cyberbedrohungen sind.
