Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias Silver Fox despliega malware ABCDoor mediante phishing

Silver Fox despliega malware ABCDoor mediante phishing

por Dragora

El grupo de ciberdelincuencia con sede en China conocido como Silver Fox (también conocido como Monarch, SwimSnake, The Great Thief of Valley, UTG-Q-1000 y Void Arachne) ha sido vinculado a una nueva campaña dirigida a organizaciones en Rusia e India con un nuevo malware llamado ABCDoor.

La actividad consistió en el uso de correos electrónicos de phishing que imitan correspondencia del Departamento de Impuestos sobre la Renta de la India en diciembre de 2025, seguido de una campaña similar dirigida a entidades rusas en enero de 2026.

«Ambas oleadas siguieron una estructura casi idéntica: los correos electrónicos de phishing se presentaban como avisos oficiales sobre auditorías fiscales o incitaban a los usuarios a descargar un archivo que contenía una ‘lista de infracciones fiscales'», dijo Kaspersky. Dentro del archivo había un cargador modificado basado en Rust extraído de un repositorio público. Este cargador descargaría y ejecutaría la conocida puerta trasera ValleyRAT.»

Se estima que la campaña ha afectado a organizaciones de los sectores industrial, de consultoría, retail y transporte. Más de 1.600 correos electrónicos de phishing fueron señalados entre principios de enero y principios de febrero.

Lo destacable de estas oleadas de phishing es la llegada de un nuevo plugin ValleyRAT que funciona como cargador para una puerta trasera basada en Python previamente no documentada con nombre en clave ABCDoor. La puerta trasera, según la empresa rusa de ciberseguridad, forma parte del arsenal del actor amenazante al menos desde el 19 de diciembre de 2024, y se utilizó en ciberataques a partir de febrero o marzo de 2025.

El punto de partida de la cadena de ataques es un correo electrónico de phishing que contiene un archivo PDF, que incluye dos enlaces clicables que conducen a la descarga de un archivo ZIP o RAR alojado en «abc.haijing88[.]com.» En la campaña detectada en diciembre de 2025, se dice que el código malicioso fue incrustado directamente en los archivos adjuntos al correo electrónico.

Dentro del archivo hay un ejecutable que imita un archivo PDF. El binario es una versión modificada de un cargador de shellcode de código abierto y un marco de bypass antivirus llamado RustSL. El primer uso registrado de RustSL por parte de Silver Fox data de finales de diciembre de 2025.

El objetivo final de la variante RustSL de Silver Fox es desentrañar la carga maliciosa cifrada, mientras se implementan geovallas basadas en países y comprobaciones de entorno para detectar máquinas virtuales y sandboxes. Mientras que la variante de GitHub solo incluye a China en su lista de países, la versión personalizada incluye a India, Indonesia, Sudáfrica, Rusia y Camboya.

Se ha encontrado que una variante del cargador emplea un método novedoso llamado Persistencia Fantasma para establecer la persistencia en el huésped comprometido. Se documentó por primera vez en junio de 2025.

«Este método abusa de la funcionalidad diseñada para permitir que las aplicaciones que requieran reinicio para actualizar completen correctamente el proceso de instalación», explicó Kaspersky. «Los atacantes interceptan la señal de apagado del sistema, detienen la secuencia normal de apagado y activan un reinicio bajo la apariencia de una actualización del malware. En consecuencia, el cargador obliga al sistema a ejecutarlo al arrancar el sistema operativo.»

La carga útil cifrada cargada por RustSL da como resultado la descarga del malware cifrado ValleyRAT (también conocido como Winos 4.0), siendo el componente principal («login-module.dll_bin») responsable de las comunicaciones de mando y control (C2), la ejecución de comandos y la recuperación y ejecución de módulos adicionales.

Uno de los módulos personalizados desplegados como parte del ataque tras una segunda comprobación de geovallado es ABCDoor, que contacta con un servidor externo vía HTTPS y procesa los mensajes entrantes para facilitar la persistencia, gestionar actualizaciones y eliminación de puertas traseras, recopilar datos como capturas de pantalla, habilitar el control remoto con ratón y teclado, realizar operaciones del sistema de archivos, gestionar procesos del sistema y exfiltrar el contenido del portapapeles.

Tan recientemente como en noviembre de 2025, se observó que Silver Fox utilizaba un cargador JavaScript para entregar ABCDoor, con el cargador distribuido mediante archivos autoextraíbles (SFX) que se empaquetaban dentro de archivos ZIP probablemente enviados mediante correos electrónicos de phishing. Las versiones más recientes de RustSL han ampliado desde entonces el enfoque geográfico para incluir Japón.

El mayor número de ataques se ha detectado en India, Rusia e Indonesia, seguidos por Sudáfrica y Japón. La mayoría de las muestras de cargadores descubiertas han utilizado señuelos con temática fiscal para imitar la secuencia de infección.

«Desde 2024, [Silver Fox] ha evolucionado hacia un modelo operativo de doble vía que simultáneamente lleva a cabo actividades oportunistas extensas y rentables y actividades de espionaje», dijo S2W. «En las primeras etapas, el grupo atacó a China, pero luego amplió su alcance operativo a Taiwán y Japón.»

«El grupo Silver Fox utiliza principalmente técnicas de spear phishing altamente personalizadas para la infiltración inicial, desplegando escenarios de ataque sofisticados y diversificados adaptados a los problemas estacionales del país objetivo y a las características laborales del objetivo.»

Fuente: The Hacker News

You may also like

Dejar Comentario

Click to listen highlighted text!