概要
セキュリティ研究チームは、中国を拠点とするサイバー犯罪集団「Silver Fox」(別名Void Arachne)の活動について報告しました。このグループは、利益追求型のサイバー犯罪とAPTスタイルのスパイ活動を行っています。
第一波:ValleyRATを使用した攻撃
Silver Foxは最初に、国家税関係機関を装った偽のPDFファイルを用いてValleyRAT(Winos)というバックドアを配布しました。この攻撃では、Tencent CloudインフラからZIPアーカイブをダウンロードし、DLLと実行可能ファイルを使用してValleyRATを起動します。
第二波:リモート監視ツールの悪用
2025年後半には、Silver Foxは中国のリモート監視および管理(RMM)ツールを使用して攻撃を実行しました。この合法的なツールはSyncFutureTec Company Limitedによって署名されており、税関連のフィッシングサイトからダウンロードされました。
第三波:Python Stealerの導入
最新の攻撃では、Silver FoxはWhatsAppバックアップユーティリティを偽装したPython Stealerを使用しています。この攻撃はマレーシアやインドネシアなどの地域で展開され、C2サーバーにデータを送信します。
脅威の分析
TDR(Threat Detection and Response)は、Silver Foxが利益追求型のサイバー犯罪とAPTスタイルのスパイ活動を行っていることを指摘しています。このグループは、税関連のフィッシングメールを用いてリモートツールやWhatsAppバックアップユーティリティを偽装し、攻撃を実行します。
対策
セキュリティ専門家は、税期のフィッシングメールに注意を払い、リモートツールやWhatsAppバックアップユーティリティが含まれているかどうかを確認することを推奨しています。