Silver Fox sử dụng trình cài đặt Microsoft Teams giả phát tán mã độc ValleyRAT

[T-X]

Kẻ tấn công có tên Silver Fox đã bị phát hiện đang dàn dựng một chiến dịch đánh dấu cờ giả để bắt chước một nhóm tin tặc người Nga trong các cuộc tấn công nhắm vào các tổ chức ở Trung Quốc.

Chiến dịch đầu độc tối ưu hóa công cụ tìm kiếm (SEO) sử dụng mồi nhử của Microsoft Teams để lừa người dùng nhẹ dạ cả tin tải xuống tệp cài đặt độc hại, dẫn đến việc triển khai ValleyRAT (Winos 4.0), một phần mềm độc hại đã được biết đến có liên quan đến nhóm tội phạm mạng Trung Quốc. Hoạt động này đã diễn ra từ tháng 11 năm 2025.

Nhà nghiên cứu Hayden Evans của ReliaQuest cho biết trong một báo cáo chia sẻ với The Hacker News : "Chiến dịch này nhắm vào người dùng nói tiếng Trung Quốc, bao gồm cả những người trong các tổ chức phương Tây hoạt động tại Trung Quốc, bằng cách sử dụng trình tải 'ValleyRAT' đã sửa đổi có chứa các yếu tố Cyrillic - có khả năng là một động thái cố ý nhằm gây hiểu lầm".

ValleyRAT, một biến thể của Gh0st RAT, cho phép kẻ tấn công điều khiển từ xa các hệ thống bị nhiễm, đánh cắp dữ liệu nhạy cảm, thực thi các lệnh tùy ý và duy trì hoạt động lâu dài trong các mạng mục tiêu. Cần lưu ý rằng việc sử dụng Gh0st RAT chủ yếu được cho là do các nhóm tin tặc Trung Quốc thực hiện.

Việc sử dụng Teams cho chiến dịch đầu độc SEO đánh dấu sự thay đổi so với những nỗ lực trước đây, trong đó tận dụng các chương trình phổ biến khác như Google Chrome, Telegram, WPS Office và DeepSeek để kích hoạt chuỗi lây nhiễm.

Chiến dịch SEO này nhằm mục đích chuyển hướng người dùng đến một trang web giả mạo có tùy chọn tải xuống phần mềm Teams giả mạo. Thực tế, tệp ZIP có tên "MSTчamsSetup.zip" được lấy từ một URL của Alibaba Cloud. Tệp lưu trữ này sử dụng các yếu tố ngôn ngữ tiếng Nga để gây nhầm lẫn cho các nỗ lực xác định nguồn gốc.

Tệp này có chứa "Setup.exe", một phiên bản trojan của Teams được thiết kế để quét các tiến trình đang chạy để tìm các tệp nhị phân liên quan đến 360 Total Security ("360tray.exe"), cấu hình các loại trừ của Microsoft Defender Antivirus và ghi phiên bản trojan của trình cài đặt Microsoft ("Verifier.exe") vào đường dẫn "AppData\Local\" và thực thi nó.

Phần mềm độc hại tiếp tục ghi thêm các tệp, bao gồm "AppData\Local\Profiler.json," "AppData\Roaming\Embarcadero\GPUCache2.xml," "AppData\Roaming\Embarcadero\GPUCache.xml," và "AppData\Roaming\Embarcadero\AutoRecoverDat.dll."

Ở bước tiếp theo, nó tải dữ liệu từ "Profiler.json" và "GPUcache.xml", rồi khởi chạy DLL độc hại vào bộ nhớ của "rundll32.exe", một tiến trình Windows hợp lệ, để tránh bị phát hiện. Cuộc tấn công chuyển sang giai đoạn cuối cùng, khi phần mềm độc hại thiết lập kết nối đến máy chủ bên ngoài để tải dữ liệu cuối cùng, tạo điều kiện cho việc điều khiển từ xa.

"Mục tiêu của Silver Fox bao gồm lợi ích tài chính thông qua trộm cắp, lừa đảo và gian lận, cùng với việc thu thập thông tin tình báo nhạy cảm để giành lợi thế địa chính trị", ReliaQuest cho biết. "Các mục tiêu phải đối mặt với những rủi ro tức thời như vi phạm dữ liệu, tổn thất tài chính và hệ thống bị xâm phạm, trong khi Silver Fox vẫn duy trì khả năng phủ nhận hợp lý, cho phép nó hoạt động một cách kín đáo mà không cần nguồn tài trợ trực tiếp từ chính phủ."

Tiết lộ này được đưa ra khi Nextron Systems nêu bật một chuỗi tấn công ValleyRAT khác sử dụng trình cài đặt Telegram bị nhiễm trojan làm điểm khởi đầu để khởi động một quy trình nhiều giai đoạn, cuối cùng phát tán trojan. Cuộc tấn công này cũng đáng chú ý ở chỗ lợi dụng kỹ thuật "Bring Your Own Vulnerable Driver" ( BYOVD ) để tải "NSecKrnl64.sys" và chấm dứt các quy trình giải pháp bảo mật.

Nhà nghiên cứu bảo mật Maurice Fielenbach cho biết : "Trình cài đặt này thiết lập một loại trừ nguy hiểm cho Microsoft Defender, dàn dựng một kho lưu trữ được bảo vệ bằng mật khẩu cùng với tệp nhị phân 7-Zip đã đổi tên, sau đó trích xuất tệp thực thi giai đoạn thứ hai".

"Trình điều phối giai đoạn hai, men.exe, triển khai các thành phần bổ sung vào một thư mục trong hồ sơ người dùng công khai, thao túng quyền tệp để chống lại việc dọn dẹp và thiết lập tính bền bỉ thông qua một tác vụ được lên lịch chạy một tập lệnh VBE được mã hóa. Tập lệnh này sau đó khởi chạy một trình tải trình điều khiển dễ bị tấn công và một tệp nhị phân đã ký để tải DLL ValleyRAT."

Men.exe cũng chịu trách nhiệm liệt kê các tiến trình đang chạy để xác định các tiến trình liên quan đến bảo mật điểm cuối, cũng như tải trình điều khiển "NSecKrnl64.sys" dễ bị tấn công bằng "NVIDIA.exe" và thực thi ValleyRAT. Hơn nữa, một trong những thành phần quan trọng bị mã nhị phân orchestrator bỏ qua là "bypass.exe", cho phép leo thang đặc quyền bằng cách bỏ qua Kiểm soát Tài khoản Người dùng ( UAC ).

"Bề ngoài, nạn nhân chỉ thấy một trình cài đặt bình thường", Fielenbach nói. "Ở chế độ nền, phần mềm độc hại sẽ dàn dựng các tệp, triển khai trình điều khiển, can thiệp vào hệ thống phòng thủ và cuối cùng khởi chạy một beacon ValleyRat duy trì quyền truy cập lâu dài vào hệ thống."