04.05.2026
1 хв
173
Хакерська група Silver Fox запустила кампанію з розповсюдження шкідника ABCdoor, маскуючи атаки під податкові повідомлення в Індії та русні. Фішингові листи виглядають як офіційні документи, змушуючи користувачів самостійно запускати заражені файли.
Китайську кіберзлочинну групу Silver Fox пов’язують із новою хвилею атак проти організацій у росії та Індії. У кампанії використовується новий бекдор ABCDoor, який доставляють через фішингові листи, замасковані під офіційні податкові повідомлення.
Атаки почалися ще у грудні 2025 року. Тоді зловмисники розсилали електронні листи від імені податкового відомства Індії. Пізніше аналогічний сценарій застосували вже проти російських організацій. В обох випадках структура була майже однакова: жертвам надсилали повідомлення про нібито податкові перевірки або пропонували завантажити архів із «порушеннями».
Як зазначили дослідники, всередині архівів знаходився модифікований завантажувач на базі Rust, узятий із публічного репозиторію. «Цей завантажувач завантажував і запускав відомий бекдор ValleyRAT», пояснили в Kaspersky.
За оцінками, кампанія зачепила компанії одразу з кількох секторів, зокрема промисловість, консалтинг, роздрібну торгівлю та транспорт. Лише за період із початку січня до початку лютого дослідники зафіксували понад 1600 фішингових листів.
Ланцюжок атаки починається з PDF-файлу, який містить посилання на завантаження ZIP або RAR архіву з домену abc.haijing88[.]com. У деяких випадках, особливо у грудневій хвилі, шкідливий код вбудовували прямо у вкладення.
Усередині архіву знаходиться виконуваний файл, замаскований під PDF. Це змінена версія відкритого інструменту RustSL, який використовується для обходу антивірусного захисту. Саме він розпаковує зашифроване шкідливе навантаження та перевіряє середовище, щоб виявити віртуальні машини або пісочниці.
Цікаво, що адаптована версія RustSL має розширене геозонування. Якщо в оригінальному варіанті перевірявся лише Китай, то тут додані Індія, Індонезія, Південна Африка, росія та Камбоджа.
Після цього запускається ValleyRAT, також відомий як Winos 4.0. Його основний модуль відповідає за зв’язок із сервером управління, виконання команд і завантаження додаткових компонентів.
Одним із таких модулів є ABCDoor. Він працює як бекдор і зв’язується із зовнішніми серверами через HTTPS. Через нього зловмисники можуть:
робити знімки екрана
керувати мишею та клавіатурою
працювати з файлами
запускати та завершувати процеси
витягувати дані з буфера обміну
Крім того, один із варіантів завантажувача використовує технологію Phantom Persistence. Вона дозволяє закріпитися в системі, перехоплюючи процес вимкнення комп’ютера і змушуючи його виконувати шкідливий код під час наступного запуску. Як пояснили в Kaspersky, цей метод імітує оновлення, щоб виглядати легітимно.
Раніше, ще в листопаді 2025 року, Silver Fox уже використовувала JavaScript-завантажувач для поширення ABCDoor через саморозпаковувальні архіви. Нові версії кампанії лише розширили географію, додавши, зокрема, Японію.
Найбільше атак зафіксовано в Індії, росії та Індонезії, далі йдуть Південна Африка та Японія. У більшості випадків зловмисники використовують приманки на тему податків, підлаштовуючи їх під локальні особливості.
У S2W зазначають, що з 2024 року Silver Fox працює одразу у двох напрямках: проводить масові атаки для заробітку і паралельно займається шпигунською діяльністю. Спочатку група діяла переважно проти Китаю, але згодом розширила свою активність на Тайвань, Японію та інші країни.
За словами дослідників, ключовим елементом успіху групи залишається фішинг. Вони використовують максимально адаптовані сценарії, враховуючи сезонні теми та специфіку роботи жертв, щоб підвищити шанси на успішне зараження.
