Campagne de logiciels malveillants Silver Fox ValleyRAT
Un groupe de cybercriminels opérant sous le pseudonyme de Silver Fox a lancé une opération sous faux drapeau sophistiquée visant à dissimuler ses activités sous l'appellation d'organisation russe. La campagne cible les utilisateurs sinophones, notamment les employés d'organisations occidentales présentes en Chine, et repose largement sur la manipulation des moteurs de recherche et l'utilisation de faux installateurs Microsoft Teams pour diffuser un cheval de Troie d'accès à distance bien connu.
Table des matières
Déguisé en acteur russe
Les activités récentes de Silver Fox s'articulent autour d'une stratégie visant à tromper les analystes en imitant des groupes de cybercriminels russes. Pour renforcer cette illusion, les attaquants intègrent des éléments cyrilliques dans des composants ValleyRAT modifiés et vont jusqu'à utiliser des conventions de nommage russes pour les fichiers malveillants. Cette manipulation délibérée complique l'attribution des attaques tout en permettant au groupe de poursuivre des objectifs à motivation financière et géopolitique.
Empoisonnement SEO et leurres à thème d’équipe
Depuis novembre 2025, Silver Fox mène une campagne de manipulation des moteurs de recherche (SEO) visant à piéger les victimes recherchant Microsoft Teams. Contrairement aux opérations précédentes qui exploitaient des outils tels que Chrome, Telegram, WPS Office et DeepSeek, cette vague se concentre exclusivement sur Teams.
Les résultats de recherche compromis redirigent les utilisateurs vers un site web frauduleux se faisant passer pour une page de téléchargement légitime de Teams. Au lieu du logiciel authentique, les victimes reçoivent une archive ZIP nommée « MSTчamsSetup.zip » hébergée sur Alibaba Cloud. La présence de caractères cyrilliques dans le nom du fichier renforce l'impression d'une arnaque.
Programme d’installation trojanisé et déploiement furtif
Le fichier ZIP contient Setup.exe, un programme d'installation Teams modifié conçu pour initier une compromission en plusieurs étapes. À son exécution, il effectue des vérifications de l'environnement, recherche les fichiers binaires associés à un outil de sécurité spécifique et modifie les paramètres de Microsoft Defender en ajoutant des règles d'exclusion. Il dépose également un programme d'installation Microsoft manipulé, « Verifier.exe », dans le répertoire AppData\Local de l'utilisateur et le lance pour maintenir le flux d'infection.
Le logiciel malveillant poursuit son exécution en générant plusieurs fichiers auxiliaires dans les répertoires AppData\Local et AppData\Roaming. Il charge ensuite les données de configuration à partir de ces fichiers et injecte une DLL malveillante dans rundll32.exe, un composant Windows de confiance, ce qui lui permet de s'intégrer parfaitement aux processus légitimes.
Activation de ValleyRAT (Winos 4.0)
La dernière étape consiste à déployer ValleyRAT, un dérivé de Gh0st RAT. Une fois activé, il permet l'exécution de commandes à distance, la surveillance continue, le vol de données et le contrôle total du système. Bien que les variantes de Gh0st RAT soient généralement attribuées à des groupes cybercriminels chinois, l'intégration d'éléments russes par Silver Fox vise à détourner les responsabilités.
Objectifs finaux et impact
Les activités de Silver Fox servent à la fois des objectifs financiers et de collecte de renseignements. Le groupe recherche le profit par la fraude, les escroqueries et le vol, tout en collectant des informations sensibles susceptibles de lui conférer un avantage géopolitique. Les victimes subissent des conséquences immédiates.
- Vol de données et divulgation d'informations confidentielles.
- Pertes financières dues à la fraude ou à des activités non autorisées.
- Compromission à long terme des systèmes et réseaux internes.
Pourquoi cette opération sous faux drapeau est importante
En imitant un groupe terroriste étranger, Silver Fox conserve la possibilité de nier toute implication et opère sans le contrôle habituellement exercé sur les entités étatiques. Cette stratégie d'évasion sophistiquée, associée à une chaîne d'infection en constante évolution, souligne la nécessité d'une vigilance accrue, de défenses renforcées des terminaux et d'une surveillance continue, notamment pour les organisations opérant dans des régions fréquemment ciblées par des cybermenaces complexes.
