Tin tức bảo mật ghi nhận Silver Fox đã triển khai một chiến dịch tấn công mới nhắm vào doanh nghiệp và cá nhân tại châu Á, sử dụng thông báo giả mạo liên quan đến thuế và cập nhật phần mềm để phát tán mã độc lên hệ thống nạn nhân.
Chiến dịch lừa đảo và phát tán mã độc
Nhóm này tạo các email có giao diện giống thông báo kiểm toán thuế hoặc nhắc cập nhật phần mềm, nhằm đánh lừa người nhận tin rằng nội dung là hợp lệ. Cách tiếp cận này khai thác niềm tin vào các thông điệp mang tính chính thức và tên phần mềm quen thuộc.
Silver Fox hoạt động từ ít nhất năm 2022 và trong hai năm gần đây đã mở rộng mức độ hung hãn. Ban đầu, chiến dịch tập trung vào người dùng tại Trung Quốc; sau đó chuyển dần sang Đài Loan và Nhật Bản, rồi mở rộng sang Đông Nam Á trong năm 2025, bao gồm Malaysia, Indonesia, Singapore, Thái Lan và Philippines.
Phân tích của S2W trong báo cáo công bố tháng 4/2026 cho thấy Silver Fox đã điều chỉnh mạnh kỹ thuật phishing để bám sát mùa khai thuế địa phương và thói quen sử dụng phần mềm trong khu vực.
Cách thức xâm nhập ban đầu
Chiến dịch thường mạo danh cơ quan thuế để gửi email đến người dùng tại Đài Loan, căn thời gian trùng với kỳ kiểm toán thuế nhằm tăng tính khẩn cấp và độ tin cậy của nội dung. Đây là một hình thức tấn công mạng dựa trên social engineering, trong đó người dùng bị dẫn dụ mở tệp đính kèm hoặc liên kết độc hại.
Khi nạn nhân mở email, payload ban đầu có thể là một file shortcut giả mạo hoặc tài liệu Office chứa macro ẩn. Cả hai đều được thiết kế để âm thầm kích hoạt quá trình tải xuống mã độc mà người dùng không nhận ra.
Chuỗi lây nhiễm
Nhà nghiên cứu quan sát thấy payload giai đoạn hai được phân phối từ hạ tầng cloud storage, sau đó cài đặt một công cụ quản trị từ xa có chữ ký số từ một công ty trông có vẻ hợp pháp. Cách này giúp kẻ tấn công duy trì quyền truy cập lâu dài và trích xuất dữ liệu từ bên trong mạng nội bộ.
Chuỗi lây nhiễm cho thấy mức độ chuẩn bị kỹ lưỡng của chiến dịch lỗ hổng CVE theo hướng tận dụng niềm tin của người dùng và thao tác ẩn mình sau khi xâm nhập thành công.
Phần mềm độc hại được triển khai
Sau khi có quyền truy cập ban đầu qua phishing, Silver Fox triển khai nhiều công cụ mã độc gồm:
- ValleyRAT
- AtlasCross RAT
- Catena loader
Các thành phần này phối hợp để thiết lập persistence, giao tiếp với máy chủ điều khiển từ xa và di chuyển ngang trong mạng bị xâm nhập.
Sau tháng 2/2026, nghiên cứu cũng xác nhận nhóm này triển khai một Python-based information stealer để thu thập tệp nhạy cảm và tải lên máy chủ do kẻ tấn công kiểm soát. Dấu vết mã độc được ghi nhận trong các thư mục sao lưu WhatsApp, cho thấy mục tiêu là thu hoạch cả dữ liệu cá nhân lẫn dữ liệu tổ chức.
Kỹ thuật BYOVD và vô hiệu hóa EDR
Điểm đáng chú ý trong chiến dịch là kỹ thuật Bring Your Own Vulnerable Driver (BYOVD). Silver Fox nạp các Windows driver cũ nhưng vẫn được ký hợp lệ, trong đó tồn tại lỗi bảo mật đã biết, rồi khai thác các lỗi đó để vô hiệu hóa antivirus và công cụ EDR trên máy nạn nhân.
Vì hoạt động ở kernel level, kỹ thuật này làm mù các cơ chế bảo vệ tiêu chuẩn, cho phép mã độc chạy mà không kích hoạt cảnh báo. Đây là một trong những yếu tố khiến chiến dịch có khả năng duy trì hiện diện lâu dài trong hệ thống bị xâm nhập.
Ảnh hưởng hệ thống
Chuỗi tấn công không chỉ nhắm vào người dùng phổ thông mà còn mở rộng sang cơ sở y tế, công ty tài chính và môi trường doanh nghiệp. Điều này làm gia tăng rủi ro bảo mật đối với các tổ chức thường xuyên xử lý dữ liệu nhạy cảm.
Việc kết hợp phishing, loader, RAT và BYOVD tạo ra một bề mặt mối đe dọa phức tạp, trong đó hệ thống có thể bị giám sát, trích xuất dữ liệu và duy trì truy cập trái phép trong thời gian dài.
Khuyến nghị bảo vệ và phát hiện xâm nhập
Các tổ chức nên tăng cường lọc email và giám sát tên miền để phát hiện sớm địa chỉ giả mạo. Đồng thời, cần áp dụng chính sách chặn các Windows driver dễ bị khai thác, cũng như đảm bảo công cụ EDR có bảo vệ ở kernel-level.
Việc application whitelisting giúp giới hạn các chương trình được phép chạy trên endpoint. Nhân sự trong các lĩnh vực tài chính, y tế và doanh nghiệp cần được đào tạo định kỳ về nhận diện phishing, đặc biệt trong mùa khai thuế khi các chiến dịch dạng này có xu hướng tăng mạnh.
Tham khảo thêm thông tin về các cảnh báo và chỉ báo liên quan tại nguồn bên ngoài: CISA.
Theo dõi hành vi tấn công và threat intelligence
Trong bối cảnh tin tức an ninh mạng liên tục xuất hiện các chiến dịch phát tán mã độc qua email, việc đối chiếu hành vi với threat intelligence là cần thiết để phát hiện sớm các mẫu lừa đảo có nội dung thuế, cập nhật phần mềm hoặc tài liệu Office gắn macro.
Các đội vận hành nên ưu tiên kiểm tra tệp shortcut giả mạo, tài liệu Office có macro ẩn, lưu lượng tải payload từ cloud storage, và việc xuất hiện của công cụ điều khiển từ xa ký số bất thường trên endpoint. Đây là các dấu hiệu phù hợp với chuỗi lây nhiễm đã được ghi nhận trong chiến dịch mã độc này.
