Kineska grupa Silver Fox koristi lažne porezne obaveze za distribuciju ValleyRAT i ABCDoor malvera
Kineska grupa Silver Fox koristi lažne porezne obaveze za distribuciju ValleyRAT i novog ABCDoor backdoora.
Šta se desilo?
Kineska hakерska grupa Silver Fox sprovodi sofisticiranu kampanju phishinga koja koristi lažne porezne obaveze kao mamac. Žrtve se prevarene da preuzmu архive koji sadrže malvер ValleyRAT i novi Python-baziran backdoor ABCDoor. Kampanja je počela u decembru 2025. godine sa napadima na indijske organizacije, a zatim se u januaru 2026. proširila na ruske ciljeve.
Koga pogađa?
Napadima su pogođene organizacije iz industrijskih, konsultantskih, maloprodajnih i transportnih sektora širom sveta. Između januara i februara 2026. godine zabeleženo je više od 1.600 malicioznih e-mailova. Opasnost je posebno prisutna kod zaposlenih koji donose odluke o preuzimanom sadržaju, jer e-mailovi izgledaju kao zvanični dokazi od poreske uprave.
Kako se zaštititi?
- Budite skeptični prema neočekivanim porukama od poreskih vlasti - pozovite relevantnu instituciju kako biste potvrdili autentičnost poruke
- Nemojte preuzimati arhive ili datoteke iz e-mailova čiji je pošiljaoc nepouzdan, čak i ako izgledaju zvanično
- Koristite napredne filter-e za e-mail i sigurnosna rešenja koja mogu detektovati malvер u arhivima
- Obucite zaposlene na prepoznavanje pokušaja socijalnog inženjeringa i porezne prevare
- Primenite stroga kontrola dozvola na računarima kako biste ograničili mogućnost izvršavanja malvera
- Redovno ažurirajte antivirusne definicije i zakrpe bezbednosti na svim sistemima
Tehnički detalji
Malveri se distribuiraju kroz PDF privitke koji sadrže linkove za preuzimanje umesto direktno ugrađenog zlonamernog koda - taktika dizajnirana da obidе e-mail sigurnosne Gateway-e. ABCDoor je identifikovan kao novi backdoor baziran na Pythonu koji se koristi kao prilagođeni ValleyRAT plugin. Analiza pokazuje da je ABCDoor prisutan u Silver Fox arsenal-u od kraja 2024. godine, a korišćen je u stvarnim napadima od prvog kvartala 2025. Komunikacija sa komanda-kontrol (C2) serverima koristi karakteristične domenе sa "abc" trećeg nivoa.
Preporuka Sajber Radara
Sve organizacije trebaju da hitno pojačaju bezbednost e-mail sistema i proveru autentičnosti institucionalnih saopštenja. Posebna pažnja treba da se posveti obuci zaposlenih o opasnostima phishing napada koji koriste državne institucije kao cover, jer urgentnost percipirana od strane korisnika često prevaziđe osnovno filtriranje opasnosti.
