Cybersicherheitsexperten haben eine neue Angriffswelle der Silver Fox Hackergruppe (auch bekannt als Void Arachne) identifiziert, die durch die Verwendung gefälschter Download-Portale besonders raffiniert vorgeht. Die Kriminellen erstellen täuschend echte Nachbildungen offizieller Softwareseiten, um schädliche Programme zu verbreiten, die auf beliebte Anwendungen wie WPS Office, Sogou und DeepSeek abzielen.
Zielgerichtete Angriffe auf chinesischsprachige Nutzer
Die Forschungsergebnisse der Netskope Threat Labs zeigen, dass die Angreifer Domain-Namen registrieren, die den ursprünglichen Entwicklerwebsites verblüffend ähnlich sind. Ein dokumentiertes Beispiel ist die Domain wpsice[.]com, über die bösartige MSI-Installationspakete in chinesischer Sprache verbreitet werden. Diese Taktik deutet darauf hin, dass primär Nutzer aus China und anderen chinesischsprachigen Gebieten ins Visier genommen werden.
Die Schadsoftware-Kombination umfasst mehrere gefährliche Komponenten: den Sainbox RAT (Remote Access Trojan), eine modifizierte Version des bekannten Gh0st RAT, sowie eine Variante des Open-Source-Rootkits Hidden. Diese Zusammenstellung ermöglicht es den Angreifern, vollständige Kontrolle über infizierte Systeme zu erlangen und unentdeckt in Netzwerken zu operieren.
Wiederkehrende Bedrohung mit evolvierten Methoden
Die aktuelle Kampagne ist nicht der erste dokumentierte Angriff dieser Hackergruppe. Im Sommer 2024 entdeckten Sicherheitsexperten von eSentire eine ähnliche Operation, bei der gefälschte Google Chrome Download-Seiten zur Verbreitung von Gh0st RAT verwendet wurden. Diese Attacke richtete sich ebenfalls gegen chinesische Windows-Nutzer.
Im Februar 2025 identifizierten Morphisec-Analysten eine weitere Silver Fox-Kampagne mit falschen Webressourcen. Diese Operation verbreitete ValleyRAT (Winos 4.0) und weitere Gh0st RAT-Varianten, was die kontinuierliche Weiterentwicklung und Anpassung der Angriffstaktiken verdeutlicht.
Technische Analyse der Infektionskette
Die schädlichen MSI-Installer nutzen eine ausgeklügelte Infektionsmethode. Zunächst wird die legitime Datei shine.exe gestartet, die anschließend die bösartige Bibliothek libcef.dll über die DLL Side-Loading Technik lädt. Diese Vorgehensweise umgeht viele Sicherheitssysteme, da sie vertrauenswürdige Prozesse zur Ausführung von Schadcode missbraucht.
Die geladene DLL extrahiert und aktiviert Shellcode aus der Textdatei 1.txt, die im Installationspaket enthalten ist. Dies führt zur Aktivierung der Hauptbedrohung – dem Sainbox RAT Trojaner.
Erweiterte Schadfunktionen und Rootkit-Technologie
Im .data-Bereich der analysierten Schadsoftware befindet sich ein zusätzlicher PE-Binary, der je nach Konfiguration ausgeführt werden kann. Diese eingebettete Datei ist ein Rootkit-Treiber, der auf dem Open-Source-Projekt Hidden basiert.
Der Sainbox Trojaner verfügt über umfassende Funktionen für das Nachladen zusätzlicher Schadsoftware und den Diebstahl vertraulicher Daten. Das Hidden Rootkit bietet den Angreifern komplexe Verschleierungsfunktionen, um malware-bezogene Prozesse und Windows-Registry-Schlüssel auf kompromittierten Hosts zu verbergen.
Fortgeschrittene Tarnmechanismen
Das Hidden Rootkit verwendet erweiterte Steganographie-Techniken zur Gewährleistung der Verborgenheit. Es implementiert Mini-Filter und Kernel-Callbacks, um Prozesse, Dateien sowie Registry-Schlüssel und -Werte zu verschleiern. Zusätzlich kann Hidden sich selbst und bestimmte Prozesse vor Entdeckung und Entfernung schützen.
Eine Besonderheit dieses Rootkits ist seine Benutzeroberfläche, die über IOCTL (Input/Output Control) zugänglich ist. Dies ermöglicht es den Angreifern, infizierte Systeme komfortabel zu verwalten und Verschleierungsparameter zu konfigurieren.
Die Kombination aus kommerziellen RATs und Open-Source-Rootkits verschafft den Hackern erhebliche Vorteile. Wie Netskope-Forscher betonen, bietet dieser Ansatz den Angreifern die notwendige Kontrolle und Verborgenheit, ohne komplexe Eigenentwicklungen von Grund auf erstellen zu müssen. Anwender sollten Software ausschließlich von offiziellen Entwicklerwebsites herunterladen und aktuelle Anti-Malware-Lösungen verwenden, um sich vor solchen raffinierten Bedrohungen zu schützen.
