Los investigadores de seguridad cibernética han identificado una nueva y sofisticada campaña de Silver Fox, también conocida como Void Arachne, que emplea sitios web falsificados para distribuir malware avanzado. Esta operación representa una evolución significativa en las tácticas de este grupo de amenazas, dirigiéndose específicamente a usuarios de aplicaciones populares en el mercado chino.
Arquitectura de la Campaña de Distribución
La estrategia de ataque de Silver Fox se basa en la creación de dominios typosquatting que imitan fielmente las plataformas oficiales de descarga de software legítimo. Según el análisis de Netskope Threat Labs, los atacantes han registrado dominios como wpsice[.]com para distribuir instaladores MSI maliciosos que simulan aplicaciones conocidas como WPS Office, Sogou y DeepSeek.
La orientación geográfica hacia usuarios chinos se evidencia por el uso exclusivo del idioma chino en los instaladores maliciosos, sugiriendo una campaña altamente dirigida hacia esta región específica. Esta táctica de localización aumenta significativamente la probabilidad de éxito del engaño inicial.
Componentes Técnicos del Malware
El arsenal técnico desplegado por Silver Fox incluye una combinación letal de herramientas: el Sainbox RAT, una variante modificada del conocido Gh0st RAT, y el rootkit de código abierto Hidden. Esta combinación proporciona a los atacantes capacidades completas de control remoto y persistencia stealth en los sistemas comprometidos.
El proceso de infección utiliza una técnica sofisticada de DLL side-loading que comienza con la ejecución del archivo legítimo shine.exe, el cual posteriormente carga la biblioteca maliciosa libcef.dll. Esta metodología permite evadir las defensas tradicionales al aprovechar procesos confiables para ejecutar código malicioso.
Análisis del Vector de Ataque
La cadena de infección se completa cuando la DLL maliciosa extrae y ejecuta shellcode desde el archivo 1.txt incluido en el instalador. Este shellcode activa el payload principal: el trojan Sainbox RAT, que establece comunicación persistente con la infraestructura de comando y control de los atacantes.
La sección .data del payload contiene un binario PE adicional que funciona como un driver rootkit basado en el proyecto Hidden de código abierto. Este componente proporciona capacidades avanzadas de ocultación utilizando mini-filtros y callbacks del kernel para ocultar procesos, archivos y entradas del registro de Windows.
Evolución Histórica del Grupo
La actividad de Silver Fox no es reciente. Durante el verano de 2024, eSentire documentó una campaña similar que utilizaba sitios falsificados de Google Chrome para distribuir Gh0st RAT. En febrero de 2025, Morphisec identificó otra operación que distribuía ValleyRAT (Winos 4.0) y variantes adicionales de Gh0st RAT.
Esta progresión temporal demuestra la adaptabilidad continua del grupo y su capacidad para evolucionar sus tácticas, técnicas y procedimientos (TTPs) en respuesta a las medidas de seguridad implementadas por las organizaciones objetivo.
Capacidades de Evasión y Persistencia
El rootkit Hidden implementa técnicas avanzadas de stealth, incluyendo la protección de procesos específicos contra detección y eliminación. Su interfaz de usuario, accesible mediante controles IOCTL, permite a los atacantes gestionar eficientemente los sistemas comprometidos y configurar parámetros de ocultación personalizados.
La combinación de RATs comerciales con rootkits de código abierto representa una estrategia económicamente eficiente para los ciberdelincuentes, proporcionando capacidades sofisticadas sin la necesidad de desarrollar herramientas completamente nuevas desde cero.
La campaña de Silver Fox ilustra la importancia crítica de mantener prácticas de seguridad robustas. Los usuarios deben descargar software exclusivamente desde sitios oficiales verificados y mantener actualizadas sus soluciones de seguridad endpoint. Las organizaciones deben implementar controles de seguridad multicapa que incluyan análisis de comportamiento y detección de anomalías para identificar estas amenazas avanzadas antes de que establezcan persistencia en sus redes.
