El actor de amenazas conocido como Zorro plateado ha sido visto orquestando una operaci贸n de bandera falsa para imitar a un grupo de amenaza ruso en ataques dirigidos a organizaciones en China.
La campa帽a de envenenamiento de optimizaci贸n de motores de b煤squeda (SEO) aprovecha los se帽uelos de Microsoft Teams para enga帽ar a usuarios desprevenidos para que descarguen un archivo de instalaci贸n malicioso que conduce a la implementaci贸n de ValleyRAT (Winos 4.0), un conocido malware asociado con el grupo de cibercrimen chino. La actividad est谩 en marcha desde noviembre de 2025.
芦Esta campa帽a est谩 dirigida a usuarios de habla china, incluidos aquellos dentro de organizaciones occidentales que operan en China, utilizando un cargador ‘ValleyRAT’ modificado que contiene elementos cir铆licos, probablemente un movimiento intencional para enga帽ar a la atribuci贸n禄, dijo el investigador de ReliaQuest, Hayden Evans, en un informe compartido con The Hacker News.
ValleyRAT, una variante de Gh0st RAT, permite a los actores de amenazas controlar de forma remota los sistemas infectados, filtrar datos confidenciales, ejecutar comandos arbitrarios y mantener la persistencia a largo plazo dentro de las redes espec铆ficas. Vale la pena se帽alar que el uso de Gh0st RAT se atribuye principalmente a grupos de hackers chinos.
El uso de Teams para la campa帽a de envenenamiento de SEO marca un alejamiento de esfuerzos anteriores que han aprovechado otros programas populares como Google Chrome, Telegram, WPS Office y DeepSeek para activar la cadena de infecci贸n.
La campa帽a de SEO tiene como objetivo redirigir a los usuarios a un sitio web falso que presenta una opci贸n para descargar el supuesto software Teams. En realidad, un archivo ZIP llamado 芦MST褔amsSetup.zip禄 se recupera de una URL de Alibaba Cloud. El archivo utiliza elementos ling眉铆sticos rusos para confundir los esfuerzos de atribuci贸n.
Dentro del archivo est谩 芦Setup.exe禄, una versi贸n troyanizada de Teams que est谩 dise帽ada para escanear procesos en ejecuci贸n en busca de archivos binarios relacionados con 360 Total Security (芦360tray.exe禄), configurar exclusiones de Microsoft Defender Antivirus y escribir la versi贸n troyanizada del instalador de Microsoft (芦Verifier.exe禄) en la ruta 芦AppDataLocal禄 y ejecutarlo.
El malware contin煤a escribiendo archivos adicionales, incluidos 芦AppDataLocalProfiler.json禄, 芦AppDataRoamingEmbarcaderoGPUCache2.xml禄, 芦AppDataRoamingEmbarcaderoGPUCache.xml禄 y 芦AppDataRoamingEmbarcaderoAutoRecoverDat.dll禄.
En el siguiente paso, carga datos de 芦Profiler.json禄 y 芦GPUcache.xml禄 y lanza la DLL maliciosa en la memoria de 芦rundll32.exe禄, un proceso leg铆timo de Windows, para pasar desapercibido. El ataque pasa a la etapa final en la que el malware establece una conexi贸n a un servidor externo para recuperar la carga 煤til final y facilitar el control remoto.
芦Los objetivos de Silver Fox incluyen ganancias financieras a trav茅s de robos, estafas y fraudes, junto con la recopilaci贸n de inteligencia sensible para obtener ventajas geopol铆ticas禄, dijo ReliaQuest. 芦Los objetivos enfrentan riesgos inmediatos, como violaciones de datos, p茅rdidas financieras y sistemas comprometidos, mientras que Silver Fox mantiene una negaci贸n plausible, lo que le permite operar discretamente sin financiaci贸n gubernamental directa禄.
La divulgaci贸n se produce cuando Nextron Systems destac贸 otra cadena de ataque ValleyRAT que utiliza un instalador troyano de Telegram como punto de partida para iniciar un proceso de varias etapas que finalmente entrega el troyano. Este ataque tambi茅n se destaca por aprovechar la t茅cnica Bring Your Own Vulnerable Driver (BYOVD) para cargar 芦NSecKrnl64.sys禄 y finalizar los procesos de la soluci贸n de seguridad.
芦Este instalador establece una exclusi贸n peligrosa de Microsoft Defender, prepara un archivo protegido con contrase帽a junto con un binario 7-Zip renombrado y luego extrae un ejecutable de segunda etapa禄, dijo el investigador de seguridad Maurice Fielenbach.
芦Ese orquestador de segunda etapa, men.exe, implementa componentes adicionales en una carpeta bajo el perfil de usuario p煤blico, manipula los permisos de los archivos para resistir la limpieza y configura la persistencia a trav茅s de una tarea programada que ejecuta un script VBE codificado. Este script, a su vez, lanza un cargador de controladores vulnerable y un binario firmado que descarga la DLL ValleyRAT禄.
Men.exe tambi茅n es responsable de enumerar los procesos en ejecuci贸n para identificar los procesos relacionados con la seguridad de los terminales, as铆 como de cargar el controlador vulnerable 芦NSecKrnl64.sys禄 usando 芦NVIDIA.exe禄 y ejecutar ValleyRAT. Adem谩s, uno de los componentes clave eliminados por el binario del orquestador es 芦bypass.exe禄, que permite la escalada de privilegios mediante una omisi贸n del Control de cuentas de usuario (UAC).
芦En la superficie, las v铆ctimas ven a un instalador normal禄, afirma Fielenbach. 芦En segundo plano, el malware almacena archivos, implementa controladores, altera las defensas y finalmente lanza una baliza ValleyRat que mantiene el acceso al sistema a largo plazo禄.
