В последние годы кибербезопасность стала одной из самых актуальных тем для бизнеса и частных лиц по всему миру. Особенно остро проблема стоит в Китае, где хакерские группы активно совершенствуют свои методы атаки, адаптируясь к новым технологиям защиты. Одной из таких групп является Silver Fox, также известная под названием Void Arachne, которая в очередной раз продемонстрировала высокий уровень технической подготовки, используя сложные схемы социальной инженерии и вредоносные программные комплексы для достижения своих целей. Для распространения вредоносных программ специалисты Silver Fox прибегают к использованию поддельных сайтов, рекламирующих популярное программное обеспечение, что позволяет им эффективно заманивать пользователей и внедрять опасные трояны. Главным инструментом в последней кампании этой группы стал удалённый доступный троян Sainbox RAT — модификация известного Gh0st RAT, который уже несколько лет широко используется в кибершпионаже.
Кроме того, для усиления скрытности активности мошенники применяют руткит Hidden, основанный на открытом исходном коде, что обеспечивает хакерам возможность прятать свои следы в системе и сохранять контроль над заражённым устройством длительное время без обнаружения. Фальшивые веб-сайты, на которых распространяется вредоносный установщик MSI, имитируют страницы легитимного ПО, такого как WPS Office, Sogou или DeepSeek, что служит дополнительным аргументом для доверия и клика со стороны пользователей. Анализ образцов вредоносных программ показал, что дистрибутивы ориентированы преимущественно на китайскоязычную аудиторию, так как инсталляторы и интерфейс мошеннических сайтов выполнены на китайском языке. Сам процесс заражения начинается с загрузки MSI-файла, который инсталлирует подлинное приложение shine.exe.
Однако именно оно служит носителем для дальнейшей загрузки зловредной библиотеки libcef.dll посредством техники DLL side-loading, позволяющей инициировать выполнение вредоносного кода без привлечения внимания антивирусных средств. Главная задача вредоносной DLL — извлечение шелл-кода из дополнительного файла 1.txt, встроенного в пакет установщика. Этот шелл-код запускается в памяти, приводя к инжекции следующего вредоносного компонента — Sainbox RAT.
В зависимости от конфигурации вредоносного ПО, в разделе данных (.data) присутствует дополнительный запускаемый PE-бинарник, представляющий собой руткит Hidden. Он отвечает за маскировку процессов, ключей реестра и других артефактов, связанных с деятельностью трояна. Благодаря такой комплексной архитектуре злоумышленники добиваются высокого уровня незаметности и управления заражёнными системами. Silver Fox не впервые прибегает к подобным приёмам.
Ещё в середине 2024 года специалисты из eSentire выявили похожую кампанию, где использовались поддельные сайты, имитирующие Google Chrome, с целью доставки версии Gh0st RAT. Ранее в феврале 2025 года исследователи Morphisec обнаружили атаку с использованием ложных площадок для распространения ValleyRAT, также известного как Winos 4.0, который является второй вариацией того же базового семейства вредоносных программ. Таким образом, можно проследить чёткую тенденцию Silver Fox — целенаправленное заражение китайскоязычных пользователей с помощью маскировки и современного вредоносного кода, основанного на общедоступных инструментах с дополнительной настройкой. Sainbox RAT обладает широким набором функций, которые позволяют злоумышленникам скачивать дополнительные модули на заражённый компьютер, осуществлять сбор и кражу данных, а также устанавливать дополнительное шпионское ПО.
Всё это делает троян очень опасным инструментом кибершпионажа и саботажа. Одновременно руткит Hidden обеспечивает высокую степень скрытности, что затрудняет его обнаружение обычными средствами киберзащиты и позволяет злоумышленникам дольше сохранять контроль над системами. Особое внимание требует то, что использование открытых исходных кодов и готовых коммерческих технологий, таких как различные версии Gh0st RAT, существенно снижает усилия хакеров в разработке собственных уникальных вредоносных комплексов. Вместо этого они концентрируются на совершенствовании методики доставки и маскировки, что в конечном итоге увеличивает эффективность атак. Простота внедрения этих решений и их доступность в открытых источниках делают задачи по защите ещё более актуальными и сложными.
Специалистам по информационной безопасности следует уделять особое внимание мониторингу подозрительных установщиков и трафика, поступающего с известных вредоносных доменов, таких как wpsice[.]com. При обнаружении подобных угроз необходимо оперативно изолировать заражённое оборудование и проводить детальный аудит системы для выявления возможных следов руткитов и троянов. Важно также информировать сотрудников и конечных пользователей о рисках взаимодействия с сомнительными веб-ресурсами и файлами, особенно если они предлагают скачать популярное, но потенциально поддельное ПО. Для противодействия такого рода угрозам рекомендуется использовать современные средства защиты конечных точек с расширенными эвристическими возможностями, а также осуществлять обучение персонала по методам фишинга и социальной инженерии.
Своевременное обновление операционных систем и антивирусных баз также является ключевым фактором снижения риска успешных компрометаций. Нарастание активности группировок, подобных Silver Fox, показывает, что кибератаки становятся всё более изощрёнными и направлены на узкоспециализированные аудитории. Это требует от специалистов кибербезопасности постоянного повышения квалификации, внедрения комплексных стратегий защиты и сотрудничества на международном уровне. Только совместными усилиями можно минимизировать ущерб от подобных атак и обеспечить безопасность цифрового пространства. Документы и исследования указывают, что используемые техники и вредоносные инструменты имеют тенденцию к быстрой эволюции, что позволяет Silver Fox адаптироваться к новым условиям защиты и оставаться на переднем крае кибершпионажа.
Безусловно, для организаций, работающих с китайскоязычными пользователями или на территории Китая, ситуация требует повышенного внимания к данным угрозам и внедрения соответствующих мер защиты. Заключение можно сделать такое: киберугроза в лице группы Silver Fox демонстрирует, насколько опасными и эффективными могут быть современные вредоносные кампании при использовании подконтрольных фальшивых ресурсов и известных шпионских инструментов. Игнорирование такого рода атак может привести к серьёзным утечкам данных, ущербу для бизнеса и репутации. Поэтому регулярный аудит безопасности, обучение персонала и применение проактивных методов обнаружения – важные составляющие стратегии противодействия современным киберугрозам.
