Silver Fox usa phishing fiscal para entregar ABCDoor contra alvos na Índia e na Rússia

Campanha combina iscas de imposto, loader em Rust, ValleyRAT e backdoor Python com geofencing, persistência e controle remoto de hosts comprometidos.

ComponenteCampanha do grupo Silver Fox envolvendo phishing fiscal, loader RustSL modificado, ValleyRAT e o backdoor Python ABCDoor.
VetorEmails de phishing com tema tributário levam a PDF com links para arquivos ZIP ou RAR, ou a anexos já contendo código malicioso, com executável disfarçado de PDF.
ImpactoExecução de backdoor, comunicação C2, coleta de capturas de tela, controle remoto de mouse e teclado, operações no sistema de arquivos, manipulação de processos e exfiltração da área de transferência.
PrioridadeBloquear a infraestrutura conhecida, revisar telemetria de email e endpoint entre dezembro de 2025 e fevereiro de 2026, e caçar execução de loaders RustSL associados a arquivos compactados com tema fiscal.
ArtefatosABCDoor, ValleyRAT, Winos 4.0, RustSL, login-module.dll_bin, arquivos ZIP/RAR, PDFs com links clicáveis e arquivos SFX usados em versões mais recentes da cadeia.
IoCsDomínio observado para hospedagem de arquivos: abc.haijing88[.]com.
AlvosOrganizações na Índia, Rússia, Indonésia, África do Sul e Japão, com maior concentração detectada na Índia, Rússia e Indonésia.
Resumo técnico

O grupo Silver Fox, também rastreado pelos nomes Monarch, SwimSnake, The Great Thief of Valley, UTG-Q-1000 e Void Arachne, foi associado a uma campanha de phishing com tema fiscal direcionada inicialmente a organizações na Índia e depois a entidades russas. A atividade usa mensagens que imitam comunicações de autoridades tributárias e induz o usuário a abrir documentos ou baixar arquivos compactados relacionados a auditorias e supostas irregularidades fiscais. O ponto técnico mais relevante é a combinação de uma isca de email convencional com uma cadeia de execução em múltiplas etapas: loader em Rust derivado de RustSL, entrega de ValleyRAT e carregamento posterior do backdoor Python ABCDoor como módulo adicional.

A campanha não se limita à entrega de um único binário. O fluxo observado mostra seleção geográfica, verificações de ambiente, tentativa de persistência e implantação condicional de módulos. Mais de 1.600 emails de phishing foram identificados entre o início de janeiro e o início de fevereiro, com impacto estimado em setores industrial, consultoria, varejo e transporte. O uso de ABCDoor amplia a capacidade operacional após a instalação de ValleyRAT, permitindo controle remoto, coleta de dados e manutenção do acesso. Para equipes de segurança, a prioridade é reconstruir a cadeia completa a partir de email, navegação, arquivos compactados, execução de binários e conexões HTTPS posteriores, porque a detecção isolada do primeiro anexo pode não revelar os módulos carregados em etapas seguintes.

Fluxo técnico

A cadeia começa com emails de phishing que usam linguagem e aparência de notificações fiscais. Em uma das ondas, as mensagens imitam correspondências do Income Tax Department da Índia em dezembro de 2025; em janeiro de 2026, uma estrutura semelhante foi direcionada a organizações russas. O conteúdo conduz o destinatário a um PDF com dois links clicáveis que apontam para o download de um arquivo ZIP ou RAR hospedado em abc.haijing88[.]com. Em uma variação detectada em dezembro de 2025, o código malicioso aparece diretamente incorporado aos arquivos anexados ao email, reduzindo a dependência do clique em infraestrutura externa e deslocando parte da detecção para gateways de email e análise de anexos.

Dentro do arquivo compactado há um executável que simula ser um PDF. Esse binário é uma versão modificada de RustSL, um loader público em Rust que combina carregamento de shellcode e técnicas de evasão de antivírus. A variante usada por Silver Fox desempacota uma carga criptografada, aplica geofencing por país e executa verificações de ambiente para identificar máquinas virtuais e sandboxes. Enquanto a versão pública do projeto tinha uma lista restrita voltada à China, a versão adaptada inclui Índia, Indonésia, África do Sul, Rússia e Camboja; versões mais novas também expandem o foco para o Japão. Essa lógica reduz a exposição da carga em ambientes de análise e ajuda o operador a evitar execução em regiões fora do escopo da campanha.

Após a execução do loader, a carga criptografada leva ao download de ValleyRAT, também conhecido como Winos 4.0. O componente login-module.dll_bin assume funções centrais de comunicação com comando e controle, execução de comandos e obtenção de módulos adicionais. Uma segunda checagem de geofencing antecede a implantação de ABCDoor, indicando que o backdoor Python é reservado para hosts que passam por critérios operacionais adicionais. ABCDoor se comunica por HTTPS com servidor externo e processa mensagens recebidas para persistência, atualização, remoção, coleta de capturas de tela, controle de mouse e teclado, operações em arquivos, gerenciamento de processos e exfiltração da área de transferência. A presença desse módulo altera a prioridade de resposta: o host deve ser tratado como comprometido para controle remoto interativo, não apenas como máquina que executou um downloader.

Uma variante do loader utiliza a técnica chamada Phantom Persistence. O método explora funcionalidade legítima do sistema destinada a permitir que aplicações concluam instalações após reinicialização. O malware intercepta o sinal de desligamento, interrompe a sequência normal e força uma reinicialização apresentada como parte de uma atualização. Com isso, o loader consegue se executar na inicialização do sistema operacional. Esse comportamento cria pontos observáveis em eventos de desligamento, reinicialização e execução pós-boot, especialmente quando um binário recém-baixado ou localizado em diretório de usuário reaparece após restart sem instalador empresarial legítimo associado.

Superfície afetada

A superfície exposta começa nos controles de email e se estende ao endpoint Windows, ao navegador ou visualizador usado para abrir o PDF, aos diretórios temporários onde arquivos ZIP/RAR são extraídos e aos processos responsáveis pela execução do binário disfarçado. Como a isca fiscal se apoia em um assunto administrativo plausível, usuários de áreas financeiras, contábeis, jurídicas, compras, logística e gestão tributária tendem a ser pontos de entrada mais prováveis. O risco aumenta quando o ambiente permite execução de arquivos baixados de arquivos compactados sem marcação de origem, quando anexos são extraídos para pastas graváveis pelo usuário e quando controles de aplicação não bloqueiam binários desconhecidos.

A distribuição por setores indica exposição em organizações industriais, consultorias, varejo e transporte, com maior volume de ataques detectado na Índia, Rússia e Indonésia, seguidas por África do Sul e Japão. A campanha usa o tema fiscal como padrão recorrente, mas a seleção geográfica embutida no loader mostra que a infraestrutura e a carga foram preparadas para operar em mais de um país. Isso também afeta a investigação retrospectiva: mesmo ambientes fora das primeiras ondas podem ter recebido amostras que não executaram a carga completa por falhar em checagens de país ou ambiente, deixando rastros de download, extração e execução bloqueada.

O uso posterior de um loader JavaScript entregue por arquivos SFX empacotados dentro de ZIP sugere variação no primeiro estágio, embora o objetivo de entregar ABCDoor permaneça alinhado. Essa diferença importa para defesa porque regras restritas a executáveis RustSL podem perder amostras em que o primeiro estágio muda para JavaScript ou SFX. O elo mais consistente está no tema de phishing, no encadeamento de arquivo compactado, no carregamento de ValleyRAT e na atividade HTTPS do backdoor.

  • Usuários que recebem notificações tributárias, auditorias ou supostas listas de irregularidades fiscais por email.
  • Endpoints Windows que permitem execução de binários extraídos de ZIP, RAR ou SFX sem bloqueio por reputação ou controle de aplicação.
  • Ambientes com telemetria limitada de reinicialização, persistência e execução pós-boot, ponto explorável pela técnica Phantom Persistence.
  • Hosts que apresentem execução de login-module.dll_bin ou módulos relacionados a ValleyRAT e Winos 4.0.
Hunting e telemetria

A caça deve começar pela linha do tempo de email entre dezembro de 2025 e fevereiro de 2026, priorizando mensagens com tema de auditoria fiscal, violações tributárias, anexos PDF e links para arquivos ZIP ou RAR. Em gateways de email, vale correlacionar remetentes externos, assuntos administrativos fora do padrão, anexos que contêm links e downloads subsequentes para abc.haijing88[.]com. Em proxies e DNS, o domínio deve ser tratado como indicador para investigação retrospectiva, mas não como único critério, já que a cadeia pode ter variações de hospedagem ou anexos com código embutido. A combinação de clique em PDF, download de compactado e execução de binário de usuário é mais forte do que qualquer evento isolado.

No endpoint, procure executáveis com ícone, nome ou extensão visualmente associados a PDF, mas com cabeçalho de binário executável, especialmente quando extraídos de ZIP/RAR. A presença de binários Rust recém-criados, execução de processos a partir de diretórios temporários ou de perfil de usuário, desempacotamento de cargas criptografadas e criação de conexões HTTPS para servidores externos após abertura de documento são sinais relevantes. Como o loader executa verificações contra VM e sandbox, ambientes de análise podem registrar encerramento silencioso, ausência de carga final ou comportamento divergente em comparação com máquinas reais. Esse padrão deve ser documentado para evitar falso negativo durante triagem dinâmica.

Para ValleyRAT e ABCDoor, a telemetria de processo e rede deve buscar carregamento de módulos, execução de comandos filhos, acesso à área de transferência, captura de tela e interação com APIs de mouse e teclado. A exfiltração do clipboard pode aparecer como leitura repetida de conteúdo sensível seguida de tráfego HTTPS anômalo. Operações no sistema de arquivos e gerenciamento de processos por um processo não autorizado indicam possível controle remoto. A persistência por Phantom Persistence deve ser caçada em eventos próximos a desligamento e reinicialização: interrupção de shutdown, execução imediata no boot e processos desconhecidos se reapresentando como atualização.

  • Emails com PDF contendo links para ZIP/RAR e linguagem de auditoria fiscal ou lista de violações tributárias.
  • Acesso a abc.haijing88[.]com em DNS, proxy, EDR ou logs de navegação.
  • Executável extraído de arquivo compactado e apresentado ao usuário como documento PDF.
  • Execução de RustSL modificado, payload criptografado, ValleyRAT, Winos 4.0 ou login-module.dll_bin.
  • Conexões HTTPS de processos recém-criados após abertura de PDF ou extração de arquivo compactado.
  • Eventos de reinicialização interrompida, execução pós-boot incomum e comportamento compatível com Phantom Persistence.
  • Leitura de clipboard, captura de tela, controle de mouse e teclado, enumeração de arquivos e manipulação de processos por binário sem relação com ferramentas administrativas aprovadas.
Mitigação

A resposta deve isolar hosts com evidência de execução da cadeia e preservar artefatos antes de remover arquivos, porque a análise depende da correlação entre email, arquivo compactado, loader, ValleyRAT e ABCDoor. Bloqueie abc.haijing88[.]com em DNS, proxy e controles de saída, mas trate o bloqueio como contenção inicial. Revise caixas de correio para mensagens semelhantes e remova emails ainda não abertos. Em endpoints afetados, colete lista de processos, conexões, tarefas de inicialização, itens de persistência, arquivos em diretórios temporários, conteúdo de arquivos compactados baixados e eventos de desligamento ou reinicialização. Se houver sinais de controle remoto ou exfiltração de clipboard, credenciais usadas no host devem ser consideradas expostas.

A mitigação preventiva exige endurecimento de anexos e execução. Gateways de email devem reescrever ou bloquear links em PDFs quando apontarem para arquivos executáveis compactados, e sandboxes precisam testar variações com geolocalização e ambiente que se aproximem de hosts reais. Em Windows, políticas de controle de aplicação, bloqueio de executáveis em diretórios graváveis pelo usuário, marcação de arquivos baixados da internet e inspeção de SFX reduzem a probabilidade de execução. Ferramentas de EDR devem alertar quando um processo originado de PDF, ZIP, RAR ou SFX cria conexão HTTPS externa, desempacota carga criptografada ou tenta sobreviver a reinicialização.

Depois da contenção, execute revisão de credenciais e sessões. A capacidade de coletar área de transferência, controlar teclado e mouse e operar no sistema de arquivos permite captura de tokens copiados, senhas coladas, dados internos e documentos acessíveis ao usuário. Revogue sessões ativas, rotacione credenciais de contas usadas nos endpoints afetados e revise acessos recentes a sistemas internos. A validação final deve confirmar ausência de persistência, inexistência de tráfego C2 residual, remoção de emails correlacionados e cobertura de detecção para os estágios alternativos, incluindo loader Rust, loader JavaScript e arquivos SFX.

  • Isolar endpoints com execução de binário extraído de ZIP/RAR/SFX ou evidência de ValleyRAT e ABCDoor.
  • Bloquear abc.haijing88[.]com e buscar acessos históricos ao domínio em DNS, proxy e EDR.
  • Remover emails de phishing relacionados a auditorias fiscais e PDFs com links para arquivos compactados.
  • Aplicar controle de aplicação para impedir execução de binários em diretórios temporários e pastas de perfil de usuário.
  • Criar detecções para abertura de PDF seguida de download de ZIP/RAR, extração, execução de binário e conexão HTTPS externa.
  • Revisar eventos de shutdown, reboot e inicialização para identificar persistência compatível com Phantom Persistence.
  • Rotacionar credenciais e revogar sessões de usuários em hosts com sinais de controle remoto, captura de tela ou exfiltração de clipboard.