El actor de amenazas conocido como Silver Fox ha sido detectado orquestando una operación de falsa bandera para imitar a un grupo de amenazas ruso en ataques dirigidos a organizaciones en China.
La campaña de envenenamiento de optimización para motores de búsqueda (SEO) utiliza señuelos de Microsoft Teams para engañar a usuarios desprevenidos y que descarguen un archivo de configuración malicioso que conduce al despliegue de ValleyRAT (Winos 4.0), un malware conocido asociado con el grupo de cibercrimen chino. Esta actividad se ha estado llevando a cabo desde noviembre de 2025.
«Esta campaña se dirige a usuarios de habla china, incluidos aquellos dentro de organizaciones occidentales que operan en China, utilizando un cargador ‘ValleyRAT’ modificado que contiene elementos cirílicos, probablemente un movimiento intencional para confundir la atribución», afirmó Hayden Evans, investigador de ReliaQuest, en un informe compartido con The Hacker News.
ValleyRAT, una variante de Gh0st RAT, permite a los actores de amenazas controlar remotamente los sistemas infectados, exfiltrar datos confidenciales, ejecutar comandos arbitrarios y mantener una persistencia a largo plazo dentro de las redes objetivo. Cabe destacar que el uso de Gh0st RAT se atribuye principalmente a grupos de hackers chinos.
El uso de Teams en la campaña de envenenamiento de SEO marca un cambio con respecto a los esfuerzos anteriores que han aprovechado otros programas populares como Google Chrome, Telegram, WPS Office y DeepSeek para activar la cadena de infección.
La campaña de SEO tiene como objetivo redirigir a los usuarios a un sitio web falso que presenta una opción para descargar el supuesto software de Teams. En realidad, se recupera un archivo ZIP llamado «MSTчamsSetup.zip» de una URL de Alibaba Cloud. El archivo utiliza elementos lingüísticos rusos para confundir los esfuerzos de atribución.
Dentro del archivo se encuentra «Setup.exe», una versión troyanizada de Teams que está diseñada para escanear los procesos en ejecución en busca de binarios relacionados con 360 Total Security («360tray.exe»), configurar exclusiones de Microsoft Defender Antivirus y escribir la versión troyanizada del instalador de Microsoft («Verifier.exe») en la ruta «AppDataLocal» y ejecutarlo.
El malware procede a escribir archivos adicionales, incluyendo «AppDataLocalProfiler.json», «AppDataRoamingEmbarcaderoGPUCache2.xml», «AppDataRoamingEmbarcaderoGPUCache.xml» y «AppDataRoamingEmbarcaderoAutoRecoverDat.dll».
En el siguiente paso, carga datos de «Profiler.json» y «GPUcache.xml» y lanza el DLL malicioso en la memoria de «rundll32.exe», un proceso legítimo de Windows, para pasar desapercibido. El ataque avanza a la etapa final con el malware estableciendo una conexión a un servidor externo para obtener la carga útil final y facilitar el control remoto.
«Los objetivos de Silver Fox incluyen la ganancia financiera a través del robo, las estafas y el fraude, junto con la recopilación de inteligencia sensible para obtener ventajas geopolíticas», afirmó ReliaQuest. «Los objetivos se enfrentan a riesgos inmediatos como violaciones de datos, pérdidas financieras y sistemas comprometidos, mientras que Silver Fox mantiene una negación plausible, lo que le permite operar discretamente sin financiación directa del gobierno».
La revelación se produce cuando Nextron Systems destacó otra cadena de ataque de ValleyRAT que utiliza un instalador de Telegram troyanizado como punto de partida para iniciar un proceso de varias etapas que finalmente entrega el troyano. Este ataque también es notable por aprovechar la técnica Bring Your Own Vulnerable Driver (BYOVD) para cargar «NSecKrnl64.sys» y terminar los procesos de solución de seguridad.
«Este instalador establece una peligrosa exclusión de Microsoft Defender, prepara un archivo protegido con contraseña junto con un binario 7-Zip renombrado y luego extrae un ejecutable de segunda etapa», dijo el investigador de seguridad Maurice Fielenbach en una declaración.
«Ese orquestador de segunda etapa, men.exe, despliega componentes adicionales en una carpeta dentro del perfil de usuario público, manipula los permisos de archivo para resistir la limpieza y configura una tarea programada que ejecuta un script VBE codificado. Este script, a su vez, lanza un cargador de controladores vulnerables y un binario firmado que carga lateralmente el DLL de ValleyRAT».
Men.exe también es responsable de enumerar los procesos en ejecución para identificar los procesos relacionados con la seguridad del punto final, así como de cargar el controlador vulnerable «NSecKrnl64.sys» utilizando «NVIDIA.exe» y ejecutar ValleyRAT. Además, uno de los componentes clave dejados caer por el binario orquestador es «bypass.exe», que permite la elevación de privilegios mediante un bypass del Control de cuentas de usuario (UAC).
«En la superficie, las víctimas ven un instalador normal», dijo Fielenbach. «En segundo plano, el malware prepara archivos, despliega controladores, manipula las defensas y finalmente lanza un beacon de ValleyRat que mantiene el acceso a largo plazo al sistema».