银狐针对印度用户的税务主题邮件投放 ValleyRAT 恶意软件

已知威胁行为者 Silver Fox 将目标转向印度，在钓鱼活动中使用所得税主题的诱饵来分发一种模块化远控木马，名为 ValleyRAT（亦称 Winos 4.0）。

"此高级攻击利用了包括 DLL 劫持在内的复杂杀伤链，并通过模块化的 ValleyRAT 确保持久性，" CloudSEK 研究员 Prajwal Awasthi 与 Koushik Pal

在上周发布的分析中指出。

Silver Fox 亦被称为 SwimSnake、The Great Thief of Valley（或 Valley Thief）、UTG‑Q‑1000 与 Void Arachne，是一个

，自 2022 年起活跃。

该组织以策划多种活动闻名，其动机涵盖间谍与情报收集、金融收益、加密货币挖矿以及运营中断，使其成为少数采用多元入侵手段的黑客团队之一。

虽然最初主要针对中文使用者和组织，但其受害者范围已扩展至公共、金融、医疗和技术领域。该组织利用搜索引擎优化（SEO）投毒和钓鱼手段投放 Gh0st RAT 的变种，包括 ValleyRAT、Gh0stCringe 与 HoldingHands RAT（亦称 Gh0stBins）。

在 CloudSEK 记录的感染链中，钓鱼邮件附带伪装成印度所得税局的 PDF，打开后将受害者引导至 "ggwk[.]cc" 域名，从而下载名为 "tax affairs.zip" 的压缩包。

压缩包内包含同名的 Nullsoft Scriptable Install System（NSIS）安装程序 ("tax affairs.exe")，该安装程序调用与

关联的合法可执行文件 ("thunder.exe")，并加载一个恶意 DLL ("libexpat.dll") 进行侧载。

该 DLL 会禁用 Windows Update 服务，并作为 Donut 加载器的跳板，在执行前进行多项反分析与反沙箱检测，以确保恶意软件在受感染主机上顺利运行。随后，加载器将最终的 ValleyRAT 载荷注入一个空洞的 "explorer.exe" 进程。

ValleyRAT 设计为与外部服务器通信并等待进一步指令。它采用插件化架构，可按需扩展功能，实现键盘记录、凭据收集和防御规避等能力。

"注册表驻留的插件与延迟信标使 RAT 能在重启后仍保持低噪声运行，按需模块交付则使其能够针对受害者角色和价值进行定向凭据收集与监视。" CloudSEK 说明。

披露显示，NCC Group 发现了一个被 Silver Fox 用于追踪恶意安装程序下载活动的公开链接管理面板 ("ssl3[.]space")，其中包括针对 Microsoft Teams 等流行应用的下载链接。

• 托管后门安装程序的网页
• 钓鱼站点每日下载按钮点击次数
• 自启动以来累计点击次数

Silver Fox 创建的伪造站点冒充 CloudChat、FlyVPN、Microsoft Teams、OpenVPN、QieQie、Santiao、Signal、Sigua、Snipaste、Sogou、Telegram、ToDesk、WPS Office 与 Youdao 等。对点击下载链接的来源 IP 分析显示，至少 217 次点击源自中国，随后是美国（39）、香港（29）、台湾（11）和澳大利亚（7）。

"Silver Fox 利用 SEO 投毒分发至少 20 种广泛使用的应用程序的后门安装程序，包括通讯工具、VPN 与生产力应用，主要针对中国的中文使用者和组织，感染案例可追溯至 2025 年 7 月，受害者遍布亚太、欧洲和北美。" 研究员 Dillon Ashmore 与 Asher Glue

。

通过这些站点分发的 ZIP 包内包含基于 NSIS 的安装程序，该程序负责配置 Microsoft Defender 防病毒排除项、利用计划任务建立持久性，并随后向远程服务器请求 ValleyRAT 载荷。

此发现与 ReliaQuest 最近的报告相吻合，后者

该黑客组织为一次假旗行动，模仿俄罗斯威胁演员在针对中国组织的攻击中使用 Teams 相关诱饵站点，以混淆归因。

"该面板的数据展示了来自中国大陆以及亚太、欧洲和北美受害者的数百次点击，验证了该活动的范围及其对中文使用者的战略性定位。" NCC Group 表示。