Nguyễn Tiến Đạt
Intern Writer
Nhóm tội phạm mạng Silver Fox đã mở rộng phạm vi hoạt động sang Ấn Độ, sử dụng các email lừa đảo liên quan đến thuế thu nhập để phát tán phần mềm độc hại truy cập từ xa ValleyRAT, còn được gọi là Winos 4.0. Theo các nhà nghiên cứu Prajwal Awasthi và Koushik Pal của CloudSEK, đây là một chiến dịch tinh vi, tận dụng chuỗi tấn công nhiều lớp, bao gồm kỹ thuật chiếm quyền điều khiển DLL và kiến trúc phần mềm độc hại dạng mô-đun nhằm duy trì khả năng tồn tại lâu dài trên hệ thống nạn nhân.
Silver Fox, còn được biết đến với nhiều bí danh như SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 và Void Arachne, là một nhóm tin tặc có nguồn gốc từ Trung Quốc, hoạt động ít nhất từ năm 2022. Nhóm này được đánh giá là hiếm hoi khi theo đuổi chiến lược tấn công đa mục tiêu, từ gián điệp mạng, thu thập thông tin tình báo, trục lợi tài chính, khai thác tiền điện tử cho đến phá hoại hoạt động.
Ban đầu, Silver Fox chủ yếu nhắm vào các cá nhân và tổ chức nói tiếng Trung Quốc. Tuy nhiên, theo thời gian, danh sách nạn nhân đã mở rộng sang các lĩnh vực công, tài chính, y tế và công nghệ. Nhóm này thường sử dụng các kỹ thuật đầu độc công cụ tìm kiếm (SEO poisoning) và lừa đảo trực tuyến để phát tán các biến thể Gh0st RAT, bao gồm ValleyRAT, Gh0stCringe và HoldingHands RAT (Gh0stBins).
Bên trong tệp nén này là một trình cài đặt NSIS (“tax affairs.exe”), lợi dụng một tệp thực thi hợp pháp của Thunder (“thunder.exe”) – trình quản lý tải xuống cho Windows do Xunlei phát triển – cùng với một tệp DLL độc hại (“libexpat.dll”). Tệp DLL này vô hiệu hóa Windows Update, thực hiện nhiều kỹ thuật chống phân tích và chống sandbox, sau đó đóng vai trò là kênh tải Donut loader để tiêm ValleyRAT vào một tiến trình “explorer.exe” rỗng.
ValleyRAT sau khi được triển khai sẽ kết nối với máy chủ điều khiển từ xa và chờ lệnh. Phần mềm độc hại này sử dụng kiến trúc plugin, cho phép kẻ tấn công linh hoạt bổ sung các chức năng như ghi lại thao tác bàn phím, thu thập thông tin đăng nhập và né tránh các cơ chế phòng thủ. Các plugin được lưu trong registry cùng với cơ chế trì hoãn thực thi, giúp ValleyRAT tồn tại sau khi khởi động lại hệ thống mà vẫn hoạt động âm thầm.
Song song với đó, NCC Group đã phát hiện một bảng điều khiển quản lý bị lộ tại “ssl3[.]space”, được Silver Fox sử dụng để theo dõi hoạt động tải xuống của các trình cài đặt độc hại giả mạo ứng dụng phổ biến như Microsoft Teams. Hạ tầng này ghi nhận số lượt nhấp tải xuống mỗi ngày, tổng số lượt nhấp và các trang web phân phối trình cài đặt cài cửa hậu.
Các trang web giả mạo do Silver Fox dựng lên đã mạo danh hàng loạt ứng dụng quen thuộc như CloudChat, FlyVPN, Microsoft Teams, OpenVPN, Signal, Telegram, ToDesk, WPS Office và nhiều dịch vụ khác. Phân tích địa chỉ IP cho thấy ít nhất 217 lượt nhấp đến từ Trung Quốc, tiếp theo là Mỹ (39), Hồng Kông (29), Đài Loan (11) và Úc (7).
Theo các nhà nghiên cứu của NCC Group và ReliaQuest, chiến dịch này còn có yếu tố gây nhiễu nhận diện, khi Silver Fox giả mạo hành vi của một nhóm tin tặc Nga trong các cuộc tấn công nhắm vào tổ chức tại Trung Quốc. Điều này cho thấy phạm vi hoạt động rộng và chiến lược tinh vi của nhóm, với nạn nhân trải dài khắp châu Á - Thái Bình Dương, châu Âu và Bắc Mỹ kể từ tháng 7 năm 2025.(thehackernews)
Silver Fox, còn được biết đến với nhiều bí danh như SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 và Void Arachne, là một nhóm tin tặc có nguồn gốc từ Trung Quốc, hoạt động ít nhất từ năm 2022. Nhóm này được đánh giá là hiếm hoi khi theo đuổi chiến lược tấn công đa mục tiêu, từ gián điệp mạng, thu thập thông tin tình báo, trục lợi tài chính, khai thác tiền điện tử cho đến phá hoại hoạt động.
Ban đầu, Silver Fox chủ yếu nhắm vào các cá nhân và tổ chức nói tiếng Trung Quốc. Tuy nhiên, theo thời gian, danh sách nạn nhân đã mở rộng sang các lĩnh vực công, tài chính, y tế và công nghệ. Nhóm này thường sử dụng các kỹ thuật đầu độc công cụ tìm kiếm (SEO poisoning) và lừa đảo trực tuyến để phát tán các biến thể Gh0st RAT, bao gồm ValleyRAT, Gh0stCringe và HoldingHands RAT (Gh0stBins).
Chuỗi lây nhiễm ValleyRAT và hạ tầng phát tán tinh vi
Trong chuỗi tấn công được CloudSEK ghi nhận, nạn nhân nhận được email lừa đảo kèm tệp PDF giả mạo, được cho là gửi từ Cục Thuế thu nhập Ấn Độ. Khi mở tệp PDF, người dùng sẽ bị chuyển hướng đến tên miền độc hại “ggwk[.]cc”, nơi tự động tải xuống một tệp ZIP có tên “tax affairs.zip”.Bên trong tệp nén này là một trình cài đặt NSIS (“tax affairs.exe”), lợi dụng một tệp thực thi hợp pháp của Thunder (“thunder.exe”) – trình quản lý tải xuống cho Windows do Xunlei phát triển – cùng với một tệp DLL độc hại (“libexpat.dll”). Tệp DLL này vô hiệu hóa Windows Update, thực hiện nhiều kỹ thuật chống phân tích và chống sandbox, sau đó đóng vai trò là kênh tải Donut loader để tiêm ValleyRAT vào một tiến trình “explorer.exe” rỗng.
ValleyRAT sau khi được triển khai sẽ kết nối với máy chủ điều khiển từ xa và chờ lệnh. Phần mềm độc hại này sử dụng kiến trúc plugin, cho phép kẻ tấn công linh hoạt bổ sung các chức năng như ghi lại thao tác bàn phím, thu thập thông tin đăng nhập và né tránh các cơ chế phòng thủ. Các plugin được lưu trong registry cùng với cơ chế trì hoãn thực thi, giúp ValleyRAT tồn tại sau khi khởi động lại hệ thống mà vẫn hoạt động âm thầm.
Song song với đó, NCC Group đã phát hiện một bảng điều khiển quản lý bị lộ tại “ssl3[.]space”, được Silver Fox sử dụng để theo dõi hoạt động tải xuống của các trình cài đặt độc hại giả mạo ứng dụng phổ biến như Microsoft Teams. Hạ tầng này ghi nhận số lượt nhấp tải xuống mỗi ngày, tổng số lượt nhấp và các trang web phân phối trình cài đặt cài cửa hậu.
Các trang web giả mạo do Silver Fox dựng lên đã mạo danh hàng loạt ứng dụng quen thuộc như CloudChat, FlyVPN, Microsoft Teams, OpenVPN, Signal, Telegram, ToDesk, WPS Office và nhiều dịch vụ khác. Phân tích địa chỉ IP cho thấy ít nhất 217 lượt nhấp đến từ Trung Quốc, tiếp theo là Mỹ (39), Hồng Kông (29), Đài Loan (11) và Úc (7).
Theo các nhà nghiên cứu của NCC Group và ReliaQuest, chiến dịch này còn có yếu tố gây nhiễu nhận diện, khi Silver Fox giả mạo hành vi của một nhóm tin tặc Nga trong các cuộc tấn công nhắm vào tổ chức tại Trung Quốc. Điều này cho thấy phạm vi hoạt động rộng và chiến lược tinh vi của nhóm, với nạn nhân trải dài khắp châu Á - Thái Bình Dương, châu Âu và Bắc Mỹ kể từ tháng 7 năm 2025.(thehackernews)
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
