德国安全公司Hexastrike上周报告曝光,中国黑客组织Silver Fox正扩大对亚洲中文用户的网络攻击。假域名冒充Surfshark VPN、Signal、Telegram、Zoom、Microsoft Teams等热门软件。十一处确认投毒域名全在名单上。
app-zoom.com假Zoom。signal-signal.com仿Signal。trezor-trezor.com针对Trezor加密钱包。kefubao-pc.com冒KeFuBao电商。就在加密市场波动期,BTC现报$66,834(24h -1.48%),ETH现报$2,054(24h -0.88%),这类假域名专钓币圈用户下手。
Silver Fox又叫SwimSnake、Valley Thief。过去用Gh0st RAT变种,如ValleyRAT、Gh0stCringe。AtlasCross RAT是新家伙。攻击链从假网站起步,用户点ZIP下载。里面藏木马Autodesk安装器,顺带正版诱饵App。
安装器跑shellcode加载器。先解密Gh0st配置,挖C2地址。从bifa668[.]com的9899端口TCP拉第二阶段shellcode。内存执行AtlasCross。域名多在2025年10月27日一天注册。批量操作。
所有安装包用同一偷来证书。越南河内DUC FABULOUS CO.,LTD的扩展验证代码签名。其他无关恶意软件也用过这玩意儿。黑客圈子里广传,伪装合法绕杀软。
AtlasCross内嵌PowerChell框架。C/C++原生PowerShell引擎,直宿.NET CLR。执行前关AMSI、ETW、Constrained Language Mode、ScriptBlock日志。C2流量ChaCha20加密,每包随机密钥,从硬件RNG生。
功能狠。DLL注入WeChat。劫持RDP会话。直杀中国安全软件连接,如360 Safe、Huorong、Kingsoft、QQ PC Manager。不靠BYOVD漏洞驱动。文件操作。Shell命令。定时任务驻留。
Hexastrike说,这是Silver Fox工具链升级。继承ValleyRAT和Winos 4.0的Gh0st协议。加PowerChell和绕过链,能力大跃进。中国厂商Knownsec 404本月报告,Silver Fox近年最活跃威胁。专挑企业管理层、财务用WeChat、QQ、钓鱼邮件、假工具站下手。遥控窃密,搞金融骗局。
域名策略牛。高度仿官网,加区域标签减疑心。多管齐下:typosquatting、域名劫持、DNS搞鬼。近期从台湾组织PDF钓鱼ValleyRAT,转用SyncFuture TSM合法RMM工具误配。再到Python窃取器伪WhatsApp。
目标散亚洲。日本、马来西亚、菲律宾、泰国、印尼、新加坡、印度。自2025年12月起。eSentire一月提过,黑月亮恶意软件用税务诱饵钓印度人。Sekoia分析,Silver Fox双轨:机会主义大撒网,配精深操作。RMM和窃取器偏犯罪,非APT。
上周,ESET指Silver Fox鱼叉钓鱼日本制造商。税务违规、薪调、职位变、员工持股计划。ValleyRAT上机后遥控,偷敏感情报,监活动,持久潜伏。挖网络深层,卷机密,或铺后门。
Silver Fox灵活。ValleyRAT搭RMM、自定义窃取器。南亚盈利战,配长期访问。工具不停进化。用户点假trezor-trezor.com,币圈钱包直露。亚洲企业警铃大作。安全团队盯紧这些域名和RAT签名。黑客不睡,防护得醒着。