Một tác nhân đe dọa tinh vi, được đặt tên là “SilverFox,” đã và đang điều phối một chiến dịch phát tán malware quy mô lớn kể từ ít nhất là tháng 6 năm 2023. Các hoạt động này chủ yếu diễn ra trong giờ làm việc theo múi giờ Trung Quốc.
Chiến dịch của SilverFox nhắm mục tiêu vào các cá nhân và tổ chức nói tiếng Trung Quốc, cả trong và ngoài Trung Quốc. Tác nhân này đã tận dụng hơn 2.800 tên miền mới được tạo để phân phối malware chuyên biệt cho hệ điều hành Windows.
Phương thức Phát tán và Mục tiêu
Tác nhân SilverFox triển khai các chiến thuật lừa đảo tinh vi, bao gồm việc sử dụng các trang web tải xuống ứng dụng giả mạo và các lời nhắc cập nhật giả mạo được nhúng trong các trang đăng nhập được ngụy tạo. Các mục tiêu mạo danh bao gồm các ứng dụng tiếp thị, công cụ kinh doanh và các ứng dụng liên quan đến tiền điện tử.
Các phương pháp này đã được duy trì nhất quán, tạo điều kiện thuận lợi cho việc phát tán các payload độc hại được thiết kế để đánh cắp thông tin đăng nhập, khai thác tài chính và có khả năng môi giới quyền truy cập (access brokering).
Tính đến tháng 6 năm 2025, phân tích cho thấy 266 trong số hơn 850 tên miền được xác định kể từ tháng 12 năm 2024 đang tích cực tham gia vào việc phân phối malware. Con số này cho thấy cơ sở hạ tầng và khả năng phục hồi hoạt động bền vững của chiến dịch.
Mô hình Đăng ký Tên miền và Nhắm mục tiêu
Các mô hình đăng ký tên miền cung cấp cái nhìn sâu sắc về quy trình làm việc của tác nhân. Thời gian tạo tên miền và thời gian phân giải DNS lần đầu tiên tập trung trong giờ làm việc điển hình của Trung Quốc. Sự trùng khớp về thời gian này cho thấy sự kết hợp giữa các quy trình tự động và sự giám sát của con người, nơi việc mua lại cơ sở hạ tầng chuyển sang giai đoạn vận hành, chẳng hạn như triển khai các trang web giả mạo để phân phối malware trong các khung thời gian này.
Các mô hình này không chỉ làm nổi bật nguồn gốc khu vực tiềm năng mà còn chỉ ra việc nhắm mục tiêu cơ hội vào các chuyên gia trong lĩnh vực bán hàng, tiếp thị và kinh doanh xuyên biên giới, đặc biệt là những người có trình độ tiếng Trung và có mối quan hệ với các đối tượng tiềm năng trong khu vực.
Chiến thuật Né Tránh và Nâng cấp Hoạt động
Để phản ứng với các biện pháp phát hiện trước đó, SilverFox đã tinh chỉnh các hoạt động của mình, tích hợp các script chống tự động hóa và kiểm tra giả lập trình duyệt để trốn tránh các công cụ quét trang web và phân tích tự động.
Tác nhân này đã giảm thiểu sự phụ thuộc vào các trình theo dõi của bên thứ ba như Baidu, Gtag và tích hợp Facebook, đồng thời phân tán các phân giải tên miền trên một phạm vi máy chủ mở rộng để giảm việc nhóm các địa chỉ IP lại với nhau và tăng cường khả năng che giấu. Thông tin đăng ký đã trở nên kín đáo hơn, loại bỏ các dấu hiệu nhận dạng để làm phức tạp quá trình gán nguồn gốc.
Phân tích Chi tiết Chuỗi Lây nhiễm
Phân tích kỹ thuật các tên miền mẫu minh họa chuỗi phân phối malware của SilverFox.
Ví dụ 1: Mạo danh Gmail
Một ví dụ điển hình là googeyxvot[.]top, trang này mạo danh giao diện đăng nhập Gmail. Trang web này triển khai JavaScript bị che giấu để kích hoạt lỗi không tương thích trình duyệt giả mạo khi người dùng nhập bất kỳ thông tin nào. Lỗi này sau đó sẽ nhắc người dùng tải xuống tệp flashcenter_pl_xr_rb_165892.19.zip.
Chi tiết quá trình lây nhiễm:
- Tệp ZIP: flashcenter_pl_xr_rb_165892.19.zip (SHA-256: 7705ac81e004546b7dacf47531b830e31d3113e217adeef1f8dd6ea6f4b8e59b)
- Tệp ZIP này giải nén một trình cài đặt MSI (SHA-256: a48043b50cded60a1f2fa6b389e1983ce70d964d0669d47d86035aa045f4f556).
- Trình cài đặt MSI chứa các tệp thực thi được nhúng:
- svchost.13.exe (SHA-256: f1b6d793331ebd0d64978168118a4443c6f0ada673e954df02053362ee47917b)
- flashcenter_pl_xr_rb_165892.19.exe (SHA-256: 1c957470b21bf90073c593b020140c8c798ad8bdb2ce5f5d344e9e9c53242556)
- Tệp svchost.13.exe hoạt động như một downloader, tải về các payload đã được mã hóa từ URL:
https://ffsup-s42.oduuu[.]com/uploads%2F4398%2F2025%2F06%2F617.txt(SHA-256: e9ba441b81f2399e1db4b86e1fe301aaf2f11d3cf085735a55505873c71cbc6f). - Payload này sử dụng một vòng lặp giải mã shellcode với khóa XOR 0x25 để giải mã và thực thi một tệp PE (Portable Executable) được nhúng (SHA-256: 28e6c4d71b700ac93c8278ef7968e3d8f9454eff2e8df5baf2fff6acbfdf6c39).
Ví dụ 2: Mạo danh Alipay
Tương tự, tên miền yeepays[.]xyz giả mạo giao diện thanh toán Alipay. Trang web này sử dụng JavaScript được nhập từ assets/js/external_load.js và assets/download/filename.js để tạo một URL tải xuống cho tệp 收银台权限.exe (SHA-256: 21a0b62adc71b276a5bc8a3170ab6e315ac2c0afe8795cfeade8461f00a804d2).
Ví dụ 3: Mạo danh Sàn giao dịch Tiền điện tử
Các trang web liên quan đến tiền điện tử như coinbaw[.]vip chuyển hướng người dùng đến các trang đăng nhập được tạo giả mạo các sàn giao dịch như Coinbase, thể hiện thêm kho vũ khí phishing của tác nhân.
Bản chất kiếm tiền của chiến dịch được thể hiện rõ ràng qua việc khai thác cơ hội sự tin tưởng của người dùng.
Chỉ số Thỏa hiệp (Indicators of Compromise – IOCs)
Dưới đây là các chỉ số thỏa hiệp liên quan đến chiến dịch SilverFox:
- Tên miền độc hại:
googeyxvot[.]topyeepays[.]xyzcoinbaw[.]vip
- URL Máy chủ C2 / Payload:
https://ffsup-s42.oduuu[.]com/uploads%2F4398%2F2025%2F06%2F617.txt
- SHA-256 Hashes của Payload và Tệp liên quan:
- 7705ac81e004546b7dacf47531b830e31d3113e217adeef1f8dd6ea6f4b8e59b (flashcenter_pl_xr_rb_165892.19.zip)
- a48043b50cded60a1f2fa6b389e1983ce70d964d0669d47d86035aa045f4f556 (MSI Installer)
- f1b6d793331ebd0d64978168118a4443c6f0ada673e954df02053362ee47917b (svchost.13.exe)
- 1c957470b21bf90073c593b020140c8c798ad8bdb2ce5f5d344e9e9c53242556 (flashcenter_pl_xr_rb_165892.19.exe)
- e9ba441b81f2399e1db4b86e1fe301aaf2f11d3cf085735a55505873c71cbc6f (Encrypted Payload)
- 28e6c4d71b700ac93c8278ef7968e3d8f9454eff2e8df5baf2fff6acbfdf6c39 (Decrypted PE file)
- 21a0b62adc71b276a5bc8a3170ab6e315ac2c0afe8795cfeade8461f00a804d2 (收银台权限.exe)
Biện pháp Phòng thủ và Giảm thiểu Rủi ro
Các trình duyệt hiện đại như Chrome và Edge giúp giảm thiểu rủi ro thông qua các tính năng như Google Safe Browsing và Microsoft Defender SmartScreen, vốn thực hiện kiểm tra danh tiếng và phân tích chữ ký để chặn các lượt tải xuống độc hại. Tuy nhiên, các mối đe dọa đang phát triển đòi hỏi sự cảnh giác cao độ từ phía người dùng và tổ chức.
Các biện pháp phòng thủ được khuyến nghị bao gồm:
- Advanced Threat Protection (ATP) trong các cổng email (email gateways).
- Next-Generation Antivirus (NGAV) và Endpoint Detection and Response (EDR) trên các hệ thống Windows.
- Lọc DNS (DNS filtering).
- Phân đoạn mạng (network segmentation).
- Thực thi Xác thực đa yếu tố (MFA).
Bằng cách tích hợp các nguồn cấp dữ liệu tình báo về mối đe dọa (threat intelligence feeds) và thực hiện các buổi mô phỏng tấn công phishing định kỳ, các tổ chức có thể tăng cường khả năng phục hồi chống lại các hoạt động dai dẳng của SilverFox.
