Silver Fox ValleyRAT マルウェア キャンペーン
Silver Foxという名で活動する脅威アクターが、ロシアのグループによる活動を装う精巧な偽旗作戦を開始しました。この攻撃は、中国に拠点を置く欧米企業の従業員を含む中国語圏のユーザーを標的としており、検索エンジンの操作や偽造Microsoft Teamsインストーラーを多用して、よく知られたリモートアクセス型トロイの木馬を拡散させています。
目次
ロシア人俳優に扮して
Silver Foxの最近の活動は、ロシアの脅威グループを模倣することでアナリストを欺こうとする戦略的な試みを中心に展開されています。この欺瞞を強化するため、攻撃者は改変されたValleyRATコンポーネントにキリル文字要素を埋め込み、悪意のあるファイルをロシア風の命名規則でパッケージ化しています。この意図的なミスディレクションは、攻撃者の特定を困難にする一方で、グループが金銭的および地政学的に動機付けられた目的を追求することを可能にしました。
SEOポイズニングとチームをテーマにしたルアー
Silver Foxは2025年11月以降、Microsoft Teamsを検索するユーザーを誘導することを目的とした検索エンジン最適化(SEO)ポイズニングキャンペーンを展開しています。Chrome、Telegram、WPS Office、DeepSeekなどのツールを悪用した以前の攻撃とは異なり、今回の攻撃はTeamsのみを対象としています。
改ざんされた検索結果は、正規のTeamsダウンロードページを装った不正ウェブサイトにユーザーを誘導します。被害者は正規のソフトウェアではなく、Alibaba Cloudでホストされている「MSTчamsSetup.zip」というZIPアーカイブを受け取ります。ファイル名にキリル文字が含まれていることが、偽旗攻撃の手口を裏付けています。
トロイの木馬化されたインストーラーとステルス的な展開
ZIPファイルには、多段階の侵入を開始するように設計された、改ざんされたTeamsインストーラー「Setup.exe」が含まれています。実行されると、環境チェック、特定のセキュリティツールに関連するバイナリのスキャン、除外ルールの追加によるMicrosoft Defender設定の改ざんが行われます。また、改ざんされたMicrosoftインストーラー「Verifier.exe」をユーザーのAppData\Localディレクトリにドロップし、感染フローを維持するために起動します。
マルウェアは、AppData\LocalとAppData\Roamingに複数の補助ファイルを生成し、これらのファイルから設定データを読み込み、信頼できるWindowsコンポーネントであるrundll32.exeに悪意のあるDLLを挿入することで、正規のプロセスにシームレスに溶け込みます。
ValleyRAT(Winos 4.0)の有効化
最終段階では、Gh0st RATの派生であるValleyRATが展開されます。ValleyRATがアクティブになると、リモートからのコマンド実行、継続的な監視、データ窃取、そしてシステム全体の制御が可能になります。Gh0st RATの亜種は一般的に中国のサイバー犯罪グループによるものとされていますが、Silver Foxがロシアの要素を組み込むことで、その責任を転嫁しようとしています。
最終目標と影響
シルバーフォックスの活動は、金融と情報収集の両方の目的を持っています。同グループは詐欺、詐欺行為、窃盗を通じて利益を追求すると同時に、地政学的な影響力を持つ可能性のある機密情報を収集しています。被害者は直ちに以下の罰則を受けます。
- データの盗難と機密情報の漏洩。
- 詐欺や不正行為による金銭的損失。
- 内部システムとネットワークの長期的な侵害。
この偽旗作戦がなぜ重要なのか
Silver Foxは、外国の脅威グループを模倣することで、もっともらしい否認可能性を維持し、国家支援組織に通常向けられるような監視を受けずに活動しています。この洗練された回避戦略と進化する感染チェーンは、特に複雑なサイバー脅威の標的となる地域で活動する組織にとって、警戒の強化、エンドポイント防御の強化、そして継続的な監視の必要性を浮き彫りにしています。
