**Silver Fox**, eine in China ansässige Cybercrime-Gruppe, zielt mit einer neuen Malware namens **ABCDoor** auf Organisationen in Russland und Indien. Die Aktivitäten der Gruppe umfassen Phishing-Kampagnen, die Korrespondenz des **Income Tax Department of India** imitieren, gefolgt von ähnlichen Angriffen auf russische Unternehmen. ### Details zur Kampagne Die im Dezember 2025 beobachteten Phishing-E-Mails gaben sich als offizielle Mitteilungen bezüglich Steuerprüfungen aus oder forderten Benutzer auf, ein Archiv mit einer 'Liste von Steuerverstößen' herunterzuladen. Laut **Kaspersky** enthielten die Archive einen modifizierten, auf Rust basierenden Loader, der die bekannte ValleyRAT-Backdoor herunterlädt und ausführt. Die Kampagne hat Organisationen in den Sektoren Industrie, Beratung, Einzelhandel und Transport betroffen, wobei zwischen Anfang Januar und Anfang Februar über 1.600 Phishing-E-Mails gemeldet wurden. ### ABCDoor Backdoor Ein Schlüsselelement dieser Phishing-Wellen ist die Bereitstellung eines neuen ValleyRAT-Plugins, das als Loader für die bisher unbekannte **ABCDoor** fungiert. Diese Python-basierte Backdoor ist seit mindestens dem 19. Dezember 2024 im Arsenal des Bedrohungsakteurs und wird seit Februar oder März 2025 aktiv in Cyberangriffen eingesetzt. Die Angriffskette beginnt mit einer Phishing-E-Mail, die eine PDF-Datei mit Links zum Herunterladen eines ZIP- oder RAR-Archivs enthält, das auf einer bösartigen Domain gehostet wird. In der Kampagne vom Dezember 2025 war der bösartige Code direkt in den E-Mail-Anhängen eingebettet. ### RustSL Loader und Phantom Persistence Innerhalb des Archivs befindet sich eine ausführbare Datei, die eine PDF-Datei imitiert. Diese Binärdatei ist eine modifizierte Version eines Open-Source-Shellcode-Loaders und Antivirus-Bypass-Frameworks namens **RustSL**. Die erste Nutzung von RustSL durch Silver Fox wurde Ende Dezember 2025 verzeichnet. Die **Silver Fox** RustSL-Variante entpackt die verschlüsselte bösartige Nutzlast und implementiert gleichzeitig länderspezifisches Geofencing und Umgebungsprüfungen zur Erkennung von virtuellen Maschinen und Sandboxes. Die maßgeschneiderte Version enthält Indien, Indonesien, Südafrika, Russland und Kambodscha in ihrer Länderliste. Eine Variante des Loaders verwendet eine Technik namens **Phantom Persistence**, um Persistenz auf dem kompromittierten Host zu etablieren. Diese Technik, die erstmals im Juni 2025 dokumentiert wurde, missbraucht das Systemabschaltsignal, um einen Neustart unter dem Deckmantel eines Malware-Updates auszulösen.  ### ValleyRAT und ABCDoor-Funktionalität Die von RustSL geladene verschlüsselte Nutzlast führt zum Download der verschlüsselten ValleyRAT (auch bekannt als Winos 4.0) Malware. Die Kernkomponente ist für die Command-and-Control (C2)-Kommunikation, die Ausführung von Befehlen sowie den Abruf und die Ausführung zusätzlicher Module verantwortlich. **ABCDoor**, das als benutzerdefiniertes Modul bereitgestellt wird, kontaktiert einen externen Server über HTTPS und verarbeitet eingehende Nachrichten, um Persistenz zu gewährleisten, Backdoor-Updates und -Entfernungen zu handhaben, Daten zu sammeln (Screenshots), Fernsteuerung von Maus und Tastatur zu ermöglichen, Dateisystemoperationen durchzuführen, Systemprozesse zu verwalten und Inhalte der Zwischenablage zu exfiltrieren. ### Entwicklung von Silver Fox Bis November 2025 wurde beobachtet, dass **Silver Fox** einen JavaScript-Loader zur Bereitstellung von **ABCDoor** verwendet, der über selbstextrahierende (SFX) Archive verteilt wird, die in ZIP-Archiven verpackt sind und wahrscheinlich per Phishing-E-Mail versendet werden. Neuere Versionen von RustSL haben den geografischen Fokus erweitert und Japan eingeschlossen. Die höchste Anzahl von Angriffen wurde in Indien, Russland und Indonesien festgestellt, gefolgt von Südafrika und Japan. Die meisten entdeckten Loader-Samples verwendeten Steuer-bezogene Köder. Laut **S2W** hat sich **Silver Fox** seit 2024 zu einem dualen operativen Modell entwickelt, das sowohl profitable opportunistische Aktivitäten als auch Spionage betreibt. Ursprünglich auf China ausgerichtet, erweiterte die Gruppe später ihre Operationen auf Taiwan und Japan. **Silver Fox** nutzt hauptsächlich stark angepasste Spear-Phishing-Techniken für die anfängliche Infiltration und setzt ausgeklügelte und diversifizierte Angriffsszenarien ein, die auf die saisonalen Probleme und Arbeitsmerkmale des Ziellandes zugeschnitten sind.