Silver Fox APT

Des experts en cybersécurité ont découvert une campagne de phishing avancée et en constante évolution ciblant principalement les utilisateurs taïwanais. Orchestrée par un groupe malveillant identifié comme Silver Fox APT, cette opération utilise des documents contenant des logiciels malveillants et des e-mails trompeurs pour diffuser une série de chevaux de Troie d'accès à distance (RAT) dangereux, dont HoldingHands RAT et Gh0stCringe, deux variantes du célèbre RAT Gh0st .

Hameçonnage avec un visage familier : usurpation d’identité des autorités gouvernementales

L'attaque commence par des courriels d'hameçonnage se faisant passer pour des entités officielles comme le Bureau national des impôts de Taïwan. Ces courriels abordent souvent des sujets liés aux impôts, aux factures ou aux retraites afin d'abuser de la confiance des destinataires et de les inciter à ouvrir les pièces jointes. Dans certaines variantes, les images intégrées déclenchent le téléchargement de logiciels malveillants lorsqu'on clique dessus, ce qui représente une rupture avec les leurres traditionnels basés sur des documents.

Documents militarisés : les fichiers PDF et ZIP comme vecteurs de diffusion de logiciels malveillants

Les principaux mécanismes de diffusion sont des documents PDF ou des archives ZIP malveillants joints à des e-mails d'hameçonnage. Ces fichiers contiennent des liens redirigeant les utilisateurs vers des pages de téléchargement hébergeant des fichiers ZIP contenant :

• Exécutables d'apparence légitime
• Chargeurs de shellcode
• Shellcode chiffré

Une fois exécutés, ces composants fonctionnent en tandem pour déployer le logiciel malveillant sans déclencher d’alarme.

Chaîne d’infection à plusieurs étapes : tromperie par couches

L'infection se déroule en plusieurs étapes sophistiquées :

Activation du chargeur de shellcode : le chargeur de shellcode décrypte et lance le shellcode intégré.

Chargement latéral de DLL : des binaires légitimes sont utilisés pour charger latéralement des fichiers DLL malveillants, cachant ainsi le logiciel malveillant à la vue de tous.

Anti-VM et escalade des privilèges : ces techniques garantissent que le logiciel malveillant évite la détection dans les environnements sandbox et sécurisent les privilèges système élevés.

Charge utile et objectif : espionnage et contrôle

La charge utile finale comprend un fichier nommé « msgDb.dat », qui fait office de module de commande et de contrôle (C2) principal. Une fois actif, il :

• Collecte des informations sensibles sur les utilisateurs
• Téléchargements de composants supplémentaires
• Permet le contrôle du bureau à distance
• Gère les fichiers sur le système infecté

Ces capacités suggèrent une intention de maintenir un accès et une surveillance à long terme sur les machines compromises.

Évolution des tactiques : innovation constante par Silver Fox APT

Silver Fox APT affine continuellement sa boîte à outils et ses techniques d'attaque, comme le montre son utilisation de :

• Cadre Winos 4.0
• Propagation de Gh0stCringe via les pages de téléchargement HTML
• HoldingHands RAT (également connu sous le nom de Gh0stBins)

La dépendance du groupe à l’égard d’un shellcode complexe, de chargeurs en couches et de vecteurs de livraison variés démontre un effort persistant pour échapper à la détection et maximiser le succès de l’infiltration.

Conclusion : la vigilance est essentielle face aux acteurs de menaces sophistiqués

Cette campagne met en évidence la sophistication croissante des groupes APT comme Silver Fox. En exploitant des thèmes de confiance, des formats de fichiers trompeurs et des techniques d'exécution furtives, ces acteurs représentent une menace sérieuse pour les organisations ciblées. Une surveillance continue, des correctifs rapides et une sécurité de messagerie robuste sont des défenses essentielles contre ces menaces en constante évolution.