Il gruppo di cybercriminali noto come Silver Fox ha recentemente espanso le proprie attività malevole, portando la distribuzione del malware Winos 4.0 e del trojan di accesso remoto HoldingHands RAT anche in Giappone e Malesia. Inizialmente confinato a obiettivi in Cina e Taiwan, Silver Fox adotta ora strategie di phishing più sofisticate, sfruttando email che veicolano file PDF con link dannosi. Questi documenti si presentano come comunicazioni ufficiali, ad esempio del Ministero delle Finanze, e includono link a siti trappola che scaricano archivi ZIP contenenti il RAT HoldingHands.
Winos 4.0 viene diffuso principalmente tramite campagne di phishing e tecniche di SEO poisoning, ingannando le vittime e indirizzandole verso siti che imitano software diffusi come Google Chrome, Telegram, Youdao e WPS Office. Una volta installato, il malware è in grado di eseguire una vasta gamma di azioni malevole, tra cui disabilitare software di sicurezza, eseguire escalation dei privilegi, terminare servizi critici come il Task Scheduler e caricare DLL malevole che eludono i sistemi di difesa comportamentale.
Un aspetto interessante delle ultime campagne è la capacità di HoldingHands RAT di comunicare con server remoti, inviare informazioni sul sistema infetto e ricevere comandi per eseguire ulteriori azioni, come l’installazione di altri payload o il furto di dati sensibili. Una nuova funzione rilevata consente di aggiornare dinamicamente l’indirizzo C2 tramite una chiave di registro di Windows, aumentando la resilienza dell’infrastruttura di comando e controllo.
Le tecniche avanzate e le recenti campagne
Silver Fox, riconosciuto anche con i nomi SwimSnake, Valley Thief e Void Arachne, fa spesso ricorso a tecniche avanzate come l’abuso di driver vulnerabili (BYOVD) per disabilitare le difese dei sistemi bersaglio. Le sue campagne sono state documentate anche in relazione ad attacchi mirati a Taiwan, Giappone e recentemente aziende cinesi del settore fintech e criptovalute, con l’operazione denominata Silk Lure.
L’approccio di ingegneria sociale è altamente mirato: email con allegati LNK camuffati da curriculum vitae vengono inviate ai reparti HR, facilitando l’installazione silenziosa del malware. Successivamente, la minaccia ottiene persistenza, esegue attività di ricognizione come screenshot e raccolta di dati, e tenta di rimuovere gli antivirus più diffusi. La pericolosità di queste infezioni si riflette nell’alto rischio di spionaggio, furto di identità e compromissione delle credenziali aziendali.