**Silver Fox**, um grupo de cibercrime baseado na China, está visando organizações na Rússia e Índia com um novo malware chamado **ABCDoor**. As atividades do grupo envolvem campanhas de phishing que imitam correspondências do **Departamento de Renda da Índia**, seguidas por ataques semelhantes direcionados a entidades russas. ### Detalhes da Campanha Os e-mails de phishing, observados em dezembro de 2025, se passavam por notificações oficiais sobre auditorias fiscais ou solicitavam aos usuários que baixassem um arquivo contendo uma 'lista de violações fiscais'. De acordo com a **Kaspersky**, os arquivos continham um loader modificado baseado em Rust que baixa e executa o conhecido backdoor ValleyRAT. A campanha impactou organizações nos setores industrial, de consultoria, varejo e transporte, com mais de 1.600 e-mails de phishing sinalizados entre o início de janeiro e o início de fevereiro. ### Backdoor ABCDoor Um elemento chave dessas ondas de phishing é a entrega de um novo plugin ValleyRAT, funcionando como um loader para o **ABCDoor**, anteriormente não documentado. Este backdoor baseado em Python faz parte do arsenal do ator de ameaças desde pelo menos 19 de dezembro de 2024 e tem sido ativamente usado em ciberataques desde fevereiro ou março de 2025. A cadeia de ataque começa com um e-mail de phishing contendo um arquivo PDF com links para download de um arquivo ZIP ou RAR hospedado em um domínio malicioso. Na campanha de dezembro de 2025, o código malicioso foi embutido diretamente nos anexos do e-mail. ### Loader RustSL e Persistência Fantasma Dentro do arquivo, há um executável que imita um arquivo PDF. Este binário é uma versão modificada de um loader de shellcode de código aberto e framework de bypass de antivírus chamado **RustSL**. O uso inicial do RustSL pelo Silver Fox foi registrado no final de dezembro de 2025. A variante RustSL do **Silver Fox** descompacta o payload malicioso criptografado enquanto implementa geofencing baseado em país e verificações de ambiente para detectar máquinas virtuais e sandboxes. A versão personalizada inclui Índia, Indonésia, África do Sul, Rússia e Camboja em sua lista de países. Uma variante do loader emprega uma técnica chamada **Persistência Fantasma** para estabelecer persistência no host comprometido. Essa técnica, documentada pela primeira vez em junho de 2025, abusa do sinal de desligamento do sistema para acionar uma reinicialização sob o pretexto de uma atualização de malware.  ### Funcionalidade ValleyRAT e ABCDoor O payload criptografado carregado pelo RustSL leva ao download do malware criptografado ValleyRAT (também conhecido como Winos 4.0). O componente principal é responsável pelas comunicações de comando e controle (C2), execução de comandos e recuperação e execução de módulos adicionais. O **ABCDoor**, implantado como um módulo personalizado, contata um servidor externo via HTTPS e processa mensagens recebidas para facilitar a persistência, lidar com atualizações e remoção do backdoor, coletar dados (capturas de tela), habilitar controle remoto de mouse e teclado, realizar operações no sistema de arquivos, gerenciar processos do sistema e exfiltrar o conteúdo da área de transferência. ### Evolução do Silver Fox A partir de novembro de 2025, o **Silver Fox** tem sido observado usando um loader JavaScript para entregar o **ABCDoor**, distribuído via arquivos auto-extraíveis (SFX) empacotados dentro de arquivos ZIP, provavelmente enviados via e-mails de phishing. Versões mais recentes do RustSL expandiram o foco geográfico para incluir o Japão. O maior número de ataques foi detectado na Índia, Rússia e Indonésia, seguido pela África do Sul e Japão. A maioria das amostras de loader descobertas usou iscas com tema de impostos. De acordo com a **S2W**, desde 2024, o **Silver Fox** evoluiu para um modelo operacional de dupla trilha, realizando tanto atividades oportunistas lucrativas quanto espionagem. Inicialmente visando a China, o grupo posteriormente expandiu suas operações para Taiwan e Japão. O **Silver Fox** utiliza principalmente técnicas de spear phishing altamente personalizadas para infiltração inicial, implantando cenários de ataque sofisticados e diversificados, adaptados às questões sazonais e características de trabalho do país alvo.