Silver Fox kampány
A Sekoia jelentése szerint a Silver Fox kampány során egy kínai kötődésű csoport egyszerre folytat pénzügyi motivációjú tömeges támadásokat és APT-jellegű kiberkémkedést, gyakran ugyanazon infrastruktúrán belül.
A kampány központi eleme a rendkívül hatékony pszichológai megtévesztés a támadók adóhatóságoknak álcázott e-mailekkel és dokumentumokkal veszik rá az áldozatokat a fájlok megnyitására. Ezek a dokumentumok valójában malware-terjesztő eszközök, amelyek kezdetben PDF-ekkel, később más módszerekkel juttatják be a payloadot a rendszerbe.
Technikai szinten a kampány egyik fő eszköze a ValleyRAT, vagy Winos moduláris backdoor, amely teljes hozzáférést biztosít a kompromittált rendszerhez. Emellett más payloadok is megjelennek, például a HoldingHands (Gh0st RAT variáns) vagy újabban egy Python-alapú infostealer, amely WhatsApp alkalmazásnak álcázza magát.
A fertőzési lánc folyamatosan evolválódik. A korábbi DLL side-loading és dokumentumalapú terjesztés mellett a támadók RMM eszközöket is visszaélésre használnak, majd áttértek egyszerűbb, de nehezebben detektálható Python stealerekre. Ez a változás a low-noise, stealthy működés irányába mutat.
A kampány elsősorban Ázsiát célozza, de a módszerek globálisan alkalmazhatók. A támadók gyakran aktuális eseményekhez igazítják a kampányt, ezzel növelve a sikerességet.
A Silver Fox egyik legfontosabb jellemzője a dual-use működés, ugyanaz az infrastruktúra és eszközkészlet szolgálhat tömeges pénzszerzésre és célzott hírszerzési műveletekre. Ez jól illusztrálja azt a trendet, hogy a kiberbűnözés és az állami APT-tevékenység közötti határ egyre inkább elmosódik.
