**Silver Fox**, un grupo de ciberdelincuencia con sede en China, está atacando a organizaciones en Rusia e India con un nuevo malware llamado **ABCDoor**. Las actividades del grupo implican campañas de phishing que imitan correspondencia del **Departamento de Impuestos de la India**, seguidas de ataques similares dirigidos a entidades rusas. ### Detalles de la Campaña Los correos electrónicos de phishing, observados en diciembre de 2025, se hacían pasar por avisos oficiales sobre auditorías fiscales o solicitaban a los usuarios que descargaran un archivo que contenía una 'lista de violaciones fiscales'. Según **Kaspersky**, los archivos contenían un cargador modificado basado en Rust que descarga y ejecuta el conocido backdoor ValleyRAT. La campaña ha afectado a organizaciones de los sectores industrial, de consultoría, minorista y de transporte, con más de 1.600 correos electrónicos de phishing detectados entre principios de enero y principios de febrero. ### Backdoor ABCDoor Un elemento clave de estas oleadas de phishing es la entrega de un nuevo plugin de ValleyRAT, que funciona como un cargador para el **ABCDoor** previamente indocumentado. Este backdoor basado en Python ha sido parte del arsenal del actor de amenazas desde al menos el 19 de diciembre de 2024, y se ha utilizado activamente en ciberataques desde febrero o marzo de 2025. La cadena de ataque comienza con un correo electrónico de phishing que contiene un archivo PDF con enlaces para descargar un archivo ZIP o RAR alojado en un dominio malicioso. En la campaña de diciembre de 2025, el código malicioso estaba incrustado directamente en los archivos adjuntos del correo electrónico. ### Cargador RustSL y Persistencia Fantasma Dentro del archivo se encuentra un ejecutable que imita un archivo PDF. Este binario es una versión modificada de un cargador de shellcode de código abierto y un framework de evasión de antivirus llamado **RustSL**. El uso inicial de RustSL por parte de Silver Fox se registró a finales de diciembre de 2025. La variante RustSL de **Silver Fox** desempaqueta la carga útil maliciosa cifrada mientras implementa geofencing basado en países y comprobaciones del entorno para detectar máquinas virtuales y sandboxes. La versión personalizada incluye India, Indonesia, Sudáfrica, Rusia y Camboya en su lista de países. Una variante del cargador emplea una técnica llamada **Persistencia Fantasma** para establecer persistencia en el host comprometido. Esta técnica, documentada por primera vez en junio de 2025, abusa de la señal de apagado del sistema para activar un reinicio bajo el pretexto de una actualización de malware.  ### Funcionalidad de ValleyRAT y ABCDoor La carga útil cifrada cargada por RustSL conduce a la descarga del malware cifrado ValleyRAT (también conocido como Winos 4.0). El componente principal es responsable de las comunicaciones de comando y control (C2), la ejecución de comandos y la recuperación y ejecución de módulos adicionales. **ABCDoor**, desplegado como un módulo personalizado, se contacta con un servidor externo a través de HTTPS y procesa los mensajes entrantes para facilitar la persistencia, manejar actualizaciones y eliminación del backdoor, recopilar datos (capturas de pantalla), habilitar el control remoto del ratón y el teclado, realizar operaciones del sistema de archivos, administrar procesos del sistema y exfiltrar el contenido del portapapeles. ### Evolución de Silver Fox A partir de noviembre de 2025, se ha observado que **Silver Fox** utiliza un cargador de JavaScript para entregar **ABCDoor**, distribuido a través de archivos de autoextracción (SFX) empaquetados dentro de archivos ZIP, probablemente enviados por correo electrónico de phishing. Las versiones más nuevas de RustSL han ampliado el enfoque geográfico para incluir a Japón. El mayor número de ataques se ha detectado en India, Rusia e Indonesia, seguidos por Sudáfrica y Japón. La mayoría de las muestras de cargadores descubiertas han utilizado señuelos temáticos de impuestos. Según **S2W**, desde 2024, **Silver Fox** ha evolucionado hacia un modelo operativo de doble vía, realizando tanto actividades oportunistas rentables como espionaje. Inicialmente dirigido a China, el grupo expandió posteriormente sus operaciones a Taiwán y Japón. **Silver Fox** utiliza principalmente técnicas de spear phishing altamente personalizadas para la infiltración inicial, desplegando escenarios de ataque sofisticados y diversificados adaptados a los problemas estacionales y las características de trabajo del país objetivo.