Zorro Plateado Envuelve ValleyRAT en ZPAQ y un Binario de ByteDance: Un Cebo MSI de Paquete de Idioma Chino de Telegrama
Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Un instalador MSI deshonesto que se hace pasar por un paquete de idioma chino de Telegram entrega una cadena de infección por capas que involucra a ValleyRAT, un rootkit de kernel basado en BYOVD, y un ejecutable firmado de ByteDance abusado para la carga lateral de DLL. El instalador también usa indebidamente la utilidad legítima de archivado zpaqfranz como un binario de living-off-the-land y despliega el controlador wnBios vulnerable para acceder a la memoria física. Los investigadores vincularon la infraestructura detrás de la operación a CTG Server Ltd en Hong Kong y atribuyeron la actividad al grupo APT Silver Fox. La campaña parece estar dirigida a usuarios de habla china en varios países de la región de Asia-Pacífico.
Investigación
Los investigadores reconstruyeron el flujo completo del ataque, comenzando con la acción personalizada del MSI y continuando con la extracción de archivos ZPAQ, el uso selectivo del binario ByteDance SodaMusicLauncher para la carga lateral de DLL y el despliegue del controlador de kernel wnBios. El análisis de los datos de configuración integrados expuso identificadores de operadores y detalles de comando y control. La infraestructura de soporte estaba vinculada a alojamiento a prueba de balas previamente asociado con Silver Fox. Los investigadores también descubrieron técnicas de persistencia y lógica de evasión consciente de antivirus utilizada a lo largo de la cadena de intrusión.
Mitigación
Prevenga la ejecución del binario zpaqfranz fuera de entornos de copia de seguridad o desarrollo aprobados y supervise de cerca las instalaciones MSI que dependan de acciones personalizadas de VBScript. Limite la creación de AppShellElevationService y detecte DLLs no firmadas colocadas junto a binarios firmados de confianza. Bloquee la comunicación saliente al rango de red /21 identificado operado por CTG Server Ltd y niegue el tráfico sobre el puerto C2 personalizado 5040. Fortalezca las protecciones basadas en host contra los nombres de archivos maliciosos y nombres de procesos observados en esta campaña.
Respuesta
Despliegue detecciones para los archivos identificados, procesos generados y eventos de creación de servicios sospechosos. Realice búsquedas del controlador de kernel vulnerable y la lógica de descifrado distintiva basada en XOR del malware. Aísle sistemas potencialmente afectados, recopile imágenes de memoria para una investigación más profunda de rootkit y restablezca cualquier credencial expuesta durante la vulneración. Los equipos de inteligencia de amenazas deben continuar rastreando la infraestructura de CTG Server para actividad de seguimiento relacionada.
graph TB %% Class definitions classDef technique fill:#ffcc99 classDef tool fill:#c2e0ff classDef malware fill:#ffd9b3 classDef process fill:#d9ffcc initial_access[«<b>Técnica</b> – <b>T1204.004 Ejecución por el usuario: Copia y pegado malicioso</b><br/>La víctima ejecuta un MSI malicioso disfrazado como paquete de idioma chino de Telegram.»] class initial_access technique system_binary_proxy[«<b>Técnica</b> – <b>T1218.007 Ejecución proxy de binarios del sistema: Msiexec</b><br/>MSI invoca una acción personalizada mediante msiexec.»] class system_binary_proxy technique vbscript_interpreter[«<b>Técnica</b> – <b>T1059.005 Intérprete de scripts: Visual Basic</b><br/>El intérprete VBScript ejecuta la acción personalizada maliciosa.»] class vbscript_interpreter technique obfuscation[«<b>Técnica</b> – <b>T1027 Archivos o información ofuscada</b><br/>Las cargas útiles están comprimidas y cifradas con XOR dentro de archivos.»] class obfuscation technique lolbin_zpaqfranz[«<b>Herramienta</b> – <b>Nombre</b>: zpaqfranz.exe (LOLBin)<br/>Utilidad legítima de descompresión usada para extraer archivos ZPAQ anidados.»] class lolbin_zpaqfranz tool powershell_xor[«<b>Técnica</b> – <b>T1059.001 Intérprete de scripts: PowerShell</b><br/>PowerShell realiza descifrado XOR de las cargas útiles.»] class powershell_xor technique dll_sideloading[«<b>Técnica</b> – <b>T1055.001 Inyección de proceso: DLL</b><br/>DLL maliciosas colocadas junto al ejecutable firmado SodaMusicLauncher.exe para DLL sideloading.»] class dll_sideloading technique signed_launcher[«<b>Proceso</b> – <b>Nombre</b>: SodaMusicLauncher.exe<br/><b>Editor</b>: ByteDance»] class signed_launcher process windows_service[«<b>Técnica</b> – <b>T1543.003 Crear o modificar proceso del sistema: Servicio de Windows</b><br/>Claves de registro crean el servicio AppShellElevationService para persistencia.»] class windows_service technique priv_esc_driver[«<b>Técnica</b> – <b>T1068 Explotación para escalada de privilegios</b><br/>Carga del driver vulnerable wnBios (BYOVD) con acceso a memoria física.»] class priv_esc_driver technique rootkit_bootkit[«<b>Técnica</b> – <b>T1014 Rootkit</b> y <b>T1542.003 Bootkit</b><br/>El driver actúa como rootkit en kernel y bootkit.»] class rootkit_bootkit technique scheduled_task[«<b>Técnica</b> – <b>T1053.005 Tarea programada</b><br/>DesignAccent.exe instalado como tarea programada para persistencia.»] class scheduled_task technique c2_valleyrat[«<b>Malware</b> – <b>Nombre</b>: ValleyRAT<br/>Beaconing al servidor C2 en TCP 5040 y NetBIOS 139.»] class c2_valleyrat malware c2_nonstandard_port[«<b>Técnica</b> – <b>T1571 Puerto no estándar</b><br/>Uso del puerto TCP 5040 para C2.»] class c2_nonstandard_port technique c2_nonapp_protocol[«<b>Técnica</b> – <b>T1095 Protocolo no de capa de aplicación</b><br/>Comunicación vía NetBIOS (puerto 139).»] class c2_nonapp_protocol technique c2_dynamic_resolution[«<b>Técnica</b> – <b>T1568 Resolución dinámica</b><br/>Resuelve direcciones C2 en tiempo de ejecución.»] class c2_dynamic_resolution technique initial_access –>|usa| system_binary_proxy system_binary_proxy –>|ejecuta| vbscript_interpreter vbscript_interpreter –>|dispara| obfuscation obfuscation –>|usa| lolbin_zpaqfranz obfuscation –>|usa| powershell_xor powershell_xor –>|prepara| dll_sideloading dll_sideloading –>|apunta a| signed_launcher signed_launcher –>|habilita| windows_service windows_service –>|crea| priv_esc_driver priv_esc_driver –>|instala| rootkit_bootkit rootkit_bootkit –>|facilita| scheduled_task scheduled_task –>|carga| c2_valleyrat c2_valleyrat –>|usa| c2_nonstandard_port c2_valleyrat –>|usa| c2_nonapp_protocol c2_valleyrat –>|usa| c2_dynamic_resolution
Flujo de Ataque
Detecciones
Posibles Indicadores de Ofuscación de Powershell (vía powershell)
Ver
Llamada a Clases/Métodos .NET Sospechosos desde Powershell CommandLine (vía process_creation)
Ver
Comando y Control Sospechoso por Solicitud DNS de Dominio de Nivel Superior (TLD) Inusual (vía dns)
Ver
Posibles Comunicaciones de Búsqueda de Dominio de IP Intentadas (vía dns)
Ver
Llamada a Métodos .NET Sospechosos desde Powershell (vía powershell)
Ver
IOCs (HashSha256) para detectar: Silver Fox Envuelve ValleyRAT en ZPAQ y un Binario de ByteDance: Un Cebo MSI de Paquete de Idioma Chino de Telegram
Ver
IOCs (HashMd5) para detectar: Silver Fox Envuelve ValleyRAT en ZPAQ y un Binario de ByteDance: Un Cebo MSI de Paquete de Idioma Chino de Telegram
Ver
IOCs (DestinationIP) para detectar: Silver Fox Envuelve ValleyRAT en ZPAQ y un Binario de ByteDance: Un Cebo MSI de Paquete de Idioma Chino de Telegram
Ver
IOCs (SourceIP) para detectar: Silver Fox Envuelve ValleyRAT en ZPAQ y un Binario de ByteDance: Un Cebo MSI de Paquete de Idioma Chino de Telegram
Ver
Detectar Eventos de Carga de Controlador de Kernel con wnBios para Acceso a Memoria Física [Carga de Imagen de Windows]
Ver
Detectar Ejecución de Binarios Maliciosos Usados por Silver Fox APT [Creación de Procesos de Windows]
Ver
Comunicación C2 de ValleyRAT en el Puerto 5040 [Conexión de Red de Windows]
Ver
Ejecución de Simulación
Prerequisito: La Verificación Previa de Telemetría y Línea Base debe haber pasado.
Racional: Esta sección detalla la ejecución precisa de la técnica adversaria (TTP) diseñada para activar la regla de detección. Los comandos y narrativas DEBEN reflejar directamente los TTP identificados y apuntar a generar la telemetría exacta que espera la lógica de detección.
-
Narrativa de Ataque y Comandos:
El actor de amenazas recibe un enlace de spear-phishing (T1566.002) que deposita
zpaqfranz.exeen la estación de trabajo de la víctima. El binario es una herramienta de compresión de apariencia legítima reutilizada como un LOLBin (T1036). El atacante luego lo lanza a través de PowerShell (T1059.001) con una línea de comandos oculta que instruye a la herramienta descomprimir una carga útil de ValleyRAT empaquetada (T1027) y ejecutarla. El proceso se ejecuta bajo el contexto del usuario actual, generando un evento de creación de procesos de Windows que coincide con lacondition del Image|endswith 'zpaqfranz.exe'.Paso a paso:
- Coloque el binario malicioso in
%TEMP%. - Ejecute el binario con PowerShell, pasando un argumento ficticio (
-extract) para imitar la carga útil real. - Mantenga el proceso por un breve periodo, luego salga.
- Coloque el binario malicioso in
-
Script de Prueba de Regresión:
# Simulación de Ejecución de LOLBin de Silver Fox $tempPath = "$env:TEMPzpaqfranz.exe" # 1. Copie un ejecutable benigno para hacerse pasar por el LOLBin malicioso # (En una prueba real, dejaría caer el binario malicioso real.) Copy-Item -Path "$env:SystemRootSystem32calc.exe" -Destination $tempPath -Force # 2. Ejecute el LOLBin a través de PowerShell (simulación T1059.001) $args = "-extract C:Temppayload.bin" Write-Host "Lanzando $tempPath $args" Start-Process -FilePath $tempPath -ArgumentList $args -NoNewWindow # 3. Espere unos segundos para asegurar que el evento se registre Start-Sleep -Seconds 5 # 4. Opcional: simule la limpieza (elimine el binario soltado) Remove-Item -Path $tempPath -Force -
Comandos de Limpieza:
# Elimine cualquier artefacto residual de la simulación $tempPath = "$env:TEMPzpaqfranz.exe" if (Test-Path $tempPath) { Remove-Item $tempPath -Force } # Termine procesos de calc.exe perdidos que pueden haber sido lanzados inadvertidamente Get-Process -Name "calc" -ErrorAction SilentlyContinue | Stop-Process -Force