中国に拠点を置くサイバー犯罪グループ「**Silver Fox**」が、ロシアとインドの組織を新たなマルウェア「**ABCDoor**」で標的にしています。同グループの活動には、**インド所得税局**からの通信を模倣したフィッシングキャンペーンや、それに続くロシアの組織を狙った同様の攻撃が含まれます。 ### キャンペーンの詳細 2025年12月に観測されたフィッシングメールは、税務監査に関する公式通知を装ったり、ユーザーに「税務違反リスト」を含むアーカイブのダウンロードを促したりしていました。**Kaspersky**によると、これらのアーカイブには、広く知られているValleyRATバックドアをダウンロードして実行する、改変されたRustベースのローダーが含まれていました。 このキャンペーンは、産業、コンサルティング、小売、運輸セクターの組織に影響を与えており、1月初旬から2月初旬にかけて1,600件以上のフィッシングメールが確認されています。 ### ABCDoorバックドア これらのフィッシング攻撃の重要な要素は、これまで知られていなかった**ABCDoor**のローダーとして機能する、新しいValleyRATプラグインの配信です。このPythonベースのバックドアは、少なくとも2024年12月19日から攻撃者のツールキットの一部となっており、2025年2月または3月からサイバー攻撃で積極的に使用されています。 攻撃チェーンは、悪意のあるドメインでホストされているZIPまたはRARアーカイブをダウンロードするためのリンクを含むPDFファイルを含むフィッシングメールから始まります。2025年12月のキャンペーンでは、悪意のあるコードはメールの添付ファイルに直接埋め込まれていました。 ### RustSLローダーとPhantom Persistence アーカイブ内には、PDFファイルに似せた実行ファイルが含まれています。このバイナリは、オープンソースのシェルコードローダーおよびアンチウイルスバイパスフレームワークである**RustSL**の改変版です。Silver FoxがRustSLを最初に利用したのは、2025年12月下旬に記録されています。 **Silver Fox**のRustSLのバリアントは、暗号化された悪意のあるペイロードを展開しながら、国別のジオフェンシングと環境チェックを実装して、仮想マシンやサンドボックスを検出します。カスタマイズされたバージョンには、インド、インドネシア、南アフリカ、ロシア、カンボジアが国リストに含まれています。 ローダーのバリアントの1つは、**Phantom Persistence**と呼ばれる技術を使用して、侵害されたホスト上で永続性を確立します。この技術は、2025年6月に初めて文書化され、マルウェアアップデートを装って再起動をトリガーするためにシステムシャットダウンシグナルを悪用します。  ### ValleyRATとABCDoorの機能 RustSLによってロードされる暗号化されたペイロードは、暗号化されたValleyRAT（別名Winos 4.0）マルウェアのダウンロードにつながります。コアコンポーネントは、コマンドアンドコントロール（C2）通信、コマンド実行、追加モジュールの取得と実行を担当します。 カスタムモジュールとして展開される**ABCDoor**は、HTTPS経由で外部サーバーと通信し、受信メッセージを処理して、永続性の確保、バックドアのアップデートと削除、データ収集（スクリーンショット）、リモートマウスとキーボード制御の有効化、ファイルシステム操作の実行、システムプロセスの管理、クリップボードコンテンツの流出を行います。 ### Silver Foxの進化 2025年11月現在、**Silver Fox**は、自己解凍（SFX）アーカイブ内にパッケージ化され、ZIPアーカイブ内に配信されるJavaScriptローダーを使用して**ABCDoor**を配信していることが確認されています。これは、おそらくフィッシングメールで送信されています。RustSLの新しいバージョンは、地理的な焦点を日本を含むように拡大しています。 最も多くの攻撃が検出されているのはインド、ロシア、インドネシアであり、それに南アフリカと日本が続いています。発見されたローダーサンプルのほとんどは、税金関連の誘い文句を使用しています。 **S2W**によると、2024年以降、**Silver Fox**は、収益性の高い機会活動と諜報活動の両方を行う、二重軌道の運用モデルに進化しました。当初は中国を標的としていましたが、後に台湾と日本に事業を拡大しました。 **Silver Fox**は主に高度にカスタマイズされた標的型フィッシング技術を使用して初期侵入を行い、標的国の季節的な問題や業務特性に合わせて調整された洗練された多様な攻撃シナリオを展開しています。