**Silver Fox**, un groupe de cybercriminalité basé en Chine, cible des organisations en Russie et en Inde avec un nouveau malware appelé **ABCDoor**. Les activités du groupe impliquent des campagnes de phishing imitant la correspondance du **Département des impôts de l'Inde**, suivies d'attaques similaires visant des entités russes. ### Détails de la campagne Les e-mails de phishing, observés en décembre 2025, se présentaient comme des avis officiels concernant des audits fiscaux ou incitaient les utilisateurs à télécharger une archive contenant une « liste des infractions fiscales ». Selon **Kaspersky**, les archives contenaient un chargeur modifié basé sur Rust qui télécharge et exécute la backdoor bien connue ValleyRAT. La campagne a touché des organisations dans les secteurs industriel, du conseil, de la vente au détail et des transports, avec plus de 1 600 e-mails de phishing signalés entre début janvier et début février. ### Backdoor ABCDoor Un élément clé de ces vagues de phishing est la livraison d'un nouveau plugin ValleyRAT, fonctionnant comme un chargeur pour **ABCDoor**, jusqu'alors inconnue. Cette backdoor basée sur Python fait partie de l'arsenal de l'acteur de la menace depuis au moins le 19 décembre 2024 et est activement utilisée dans des cyberattaques depuis février ou mars 2025. La chaîne d'attaque commence par un e-mail de phishing contenant un fichier PDF avec des liens pour télécharger une archive ZIP ou RAR hébergée sur un domaine malveillant. Lors de la campagne de décembre 2025, le code malveillant était intégré directement dans les pièces jointes de l'e-mail. ### Chargeur RustSL et persistance fantôme Dans l'archive se trouve un exécutable imitant un fichier PDF. Ce binaire est une version modifiée d'un chargeur de shellcode open-source et d'un framework de contournement antivirus appelé **RustSL**. La première utilisation de RustSL par Silver Fox a été enregistrée fin décembre 2025. La variante RustSL de **Silver Fox** décompresse la charge utile malveillante chiffrée tout en implémentant un géorepérage basé sur le pays et des vérifications d'environnement pour détecter les machines virtuelles et les sandboxes. La version personnalisée inclut l'Inde, l'Indonésie, l'Afrique du Sud, la Russie et le Cambodge dans sa liste de pays. Une variante du chargeur utilise une technique appelée **persistance fantôme** pour établir la persistance sur l'hôte compromis. Cette technique, documentée pour la première fois en juin 2025, abuse du signal d'arrêt du système pour déclencher un redémarrage sous couvert d'une mise à jour du malware.  ### Fonctionnalités de ValleyRAT et ABCDoor La charge utile chiffrée chargée par RustSL conduit au téléchargement du malware chiffré ValleyRAT (alias Winos 4.0). Le composant principal est responsable des communications de commande et de contrôle (C2), de l'exécution des commandes, et de la récupération et de l'exécution de modules supplémentaires. **ABCDoor**, déployé comme un module personnalisé, contacte un serveur externe via HTTPS et traite les messages entrants pour faciliter la persistance, gérer les mises à jour et la suppression de la backdoor, collecter des données (captures d'écran), activer le contrôle à distance de la souris et du clavier, effectuer des opérations sur le système de fichiers, gérer les processus système et exfiltrer le contenu du presse-papiers. ### Évolution de Silver Fox En novembre 2025, **Silver Fox** a été observé utilisant un chargeur JavaScript pour livrer **ABCDoor**, distribué via des archives auto-extractibles (SFX) conditionnées dans des archives ZIP, probablement envoyées par e-mail de phishing. Les versions plus récentes de RustSL ont élargi la portée géographique pour inclure le Japon. Le plus grand nombre d'attaques a été détecté en Inde, en Russie et en Indonésie, suivis par l'Afrique du Sud et le Japon. La plupart des échantillons de chargeurs découverts ont utilisé des leurres sur le thème des impôts. Selon **S2W**, depuis 2024, **Silver Fox** a évolué vers un modèle opérationnel à double voie, menant à la fois des activités opportunistes lucratives et de l'espionnage. Ciblant initialement la Chine, le groupe a ensuite étendu ses opérations à Taiwan et au Japon. **Silver Fox** utilise principalement des techniques de spear phishing hautement personnalisées pour l'infiltration initiale, déployant des scénarios d'attaque sophistiqués et diversifiés adaptés aux problèmes saisonniers et aux caractéristiques de travail du pays cible.